Makale
Microsoft Exchange Saldırıları Hız Kesmiyor
Çin merkezli bir siber suç örgütü tarafından ifşa edilen dört güvenlik açığı ile başlayan siber saldırılar, zafiyetlerden fayda sağlamak isteyen diğer suç örgütleri tarafından devam ediyor.
Başlarken…
Microsoft Exchange, küçük, orta ve büyük işletmeler tarafından kullanılan; e-posta kutusu, takvim ve iş birliği çözümlerini içeren profesyonel bir yazılım.
Microsoft, Ocak ayı içerisinde dört farklı güvenlik açığı ile ilgili uyarıldıklarını kısa bir süre önce duyurmuştu. Güvenlik zafiyetlerinin ikisini tespit eden beyaz şapkalı bir korsanın Microsoft’u 5 Ocak tarihinde uyardığı biliniyor, ilişkili saldırıların ise ertesi gün başladığı düşünülüyor.
Teknoloji şirketi, 2 Mart 2021’de Microsoft Exchange sunucu yazılımındaki açıkları gidermek için yamalar yayınladı.
Microsoft, 12 Mart’ta siber korsanların Exchange Sunucusu’na erişim sağlayıp sağlamadığını anlamak için inceleme başlattı. Siber korsanların, Microsoft tarafından Microsoft Active Protections Program (Mapp) kapsamında üçüncü partilerle paylaşılan Proof-of-Concept (PoC) saldırı kodunu ele geçirdiği düşünüldü.
Her ne kadar Microsoft, ilgili yamaları sunmuş olsa da şu ana kadar ifşa edilen açıklardan faydalanan siber korsanların saldırılarını devam ettirdiğine inanılıyor.
Microsoft Exchange üzerinden başlayan güvenlik tehdidinin küresel alanda 18 bin şirketi etkileyen ve tedarik zincirlerini hedef alan SolarWinds saldırısı ile bağlantısı olmadığı düşünülse de sunuculardaki güvenlik açıklarının hızlı bir şekilde giderilmemesi halinde benzer ölçekte etkiler yaşanabileceği belirtiliyor.
Bu kapsamda Belçika siber güvenlik merkezi CCB tarafından yapılan açıklamada, yamaların öncesinde bilgisayar ağlarına sızarak kötü amaçlı yazılım yüklemeyi başaran siber suçluların fidye yazılım dahil birçok saldırı düzenleyebileceği bildirildi. CCB, Belçika’da en az 400 şirketin tehdit altında bulunduğunu ve bu sayının 1.000’e çıkabileceğini ekledi.
İncelemeler devam ediyor…
Microsoft’un şu an yamaların sunulması öncesinde siber güvenlik ortakları ve satıcılar ile paylaşılan PoC atak kodunun internette keşfedilmekte olan saldırı araçları ile bağlantısını inceliyor. Aynı zamanda, saldırıya kapı aralamış olduğu düşünülen hesap bilgileri hırsızlığının nasıl yaşanmış olabileceği araştırılıyor. Konu birçok bilinmeze sahip…
Tümü “ProxyLogon” olarak bilinen güvenlik açıklarının Exchange Server 2013, Exchange Server 2016 ve Exchange Server 2019’u etkilediği kaydedildi. Microsoft’un güvenlik seviyesini güçlendirmek adına Exchange Server 2010’u da güncellediği belirtildi.
Söz konusu güvenlik açıklarının CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065 olduğunun altı çiziliyor. Söz konusu açıkların Remote Code Execution – RCE (Uzaktan Kod Uygulama) imkânı sunarak sunucuların ele geçirilmesi, arka kapı oluşturulması, veri hırsızlığı ve yeni kötü amaçlı yazılımların geliştirilmesine izin verebileceği ifade ediliyor.
Microsoft, siber korsanların güvenlik açıkları veya çalıntı hesap bilgileri kullanarak Microsoft Exchange’e sızdığını ve ardından saldırılarını düzenleyebilmek için “web shell” oluşturduklarını belirtti. Kötü amaçlı ve web tabanlı bir arayüzü temsil eden web shell, siber suçluların uzaktan erişim ve kontrol ile sunucularda işlem yapabilmelerini mümkün kılıyor.
Güvenlik açıklarının bir zincir saldırısı için kullanıldığını belirten Microsoft, ilk saldırıda Exchange sunucusu port 443’e bağlanıldığı, bu tehdidin bağlantı kısıtlamaları veya VPN (sanal özel ağ) kurarak Exchange sunucusunun dış erişimlere kapatılmasıyla önlenebileceği, ancak bu işlemlerin öncesinde sunucuda kötü amaçlı yazılım yüklenmiş ise yeni saldırıların yaşanabileceği uyarısında bulundu.
10 Mart 2021’de PoC kodu yayınlanırken, daha sonra GitHub tarafından kaldırıldı. 14-15 Mart tarihlerinde ise bir araştırmacı güvenlik açıklarının tehdidini düşüreceğini öne sürdüğü yeni bir PoC yayınladı.
Saldırının arkasında kim var?
Microsoft, sıfır gün saldırılarıyla bağlantılı izlerin Hafnium’a işaret ettiğini resmi olarak açıklamış durumda.
Çin merkezli, devlet sponsorluğunda faaliyet gösteren bir APT (Gelişmiş Sürekli Tehditler) örgütü olan Hafnium, “oldukça yetenekli ve akıllı bir aktör” şeklinde tanımlanıyor.
Örgüt Çin merkezli olsa da ABD’de bulunan sanal özel sunucuları (VPS) kullanan Hafnium, adresini gizlemeyi başarıyor. Hafnium tarafından geçmişte hedef alınan yerler arasında düşünce kuruluşları, kâr amacı gütmeyen kuruluşlar, savunma müteahhitleri ve araştırmacılar yer alıyor.
