Sayısı ondan fazla gelişmiş kalıcı tehdit grubunun (APT) e-posta sunucularına sızmak için Microsoft Exchange güvenlik açıklarını suistimal ettiğini fark etti. Siber güvenlik kuruluşu Eset’in araştırma ekibi, 5 binden fazla e-posta sunucusunun saldırılardan etkilendiğini belirledi. Sunucuların, dünya genelinde aralarında yüksek profile sahip şirketlerin de yer aldığı birçok kuruluşa ve devlet kurumuna ait olduğu belirtildi.
SALDIRI BÖYLE GERÇEKLEŞTİRİLDİ
Mart ayının başlarında Microsoft; 2013, 2016 ve 2019 sürümüne sahip Microsoft Exchange Server’ları için önceden kimlik doğrulama uzaktan kod yönetimi (RCE) güvenlik açıkları dizisini onaran yamalar yayımladı. Güvenlik açıkları, saldırganların geçerli bir hesabın kimlik bilgilerini bilmesine gerek kalmadan, erişim sağlanabilen Exchange sunucularını ele geçirmesine olanak tanıyor. Bu durum internete bağlı Exhange sunucularının ihlallere açık hale gelmesine neden oluyor.
TEHDİT GRUPLARI
Habertürk''ün haberine göre; Eset’in en son Exchange güvenlik açığı zinciriyle ilgili araştırmasına başkanlık eden Matthieu Faou, konudaki görüşlerini şöyle ifade etti:
“Yamaların yayımlandığı günün ertesinde Exchange sunucularını toplu halde tarayan ve ihlal eden saldırılarda artış gözlemlemeye başladık. Ayrıca bu APT gruplarından biri hariç hepsi casusluk alanına odaklanan gruplar. Bir tanesinin ise bilinen bir kripto para madenciliği ile ilişkili olduğu gözlendi. Ancak fidye yazılım operatörleri de dahil olmak üzere gittikçe daha fazla sayıda saldırgan, bu güvenlik açıklarına er ya da geç erişim sağlayacaktır.”
TAVSİYEDE BULUNDU
Matthieu Faou, şu tavsiyede bulundu: “Tüm Exchange sunucularına mümkün olan en kısa sürede yama yüklenmelidir. İnternete doğrudan maruz kalmayan sunuculara bile yama yüklenmelidir. İhlal durumunda yöneticiler web kabuklarını kaldırmalı, giriş bilgilerini değiştirmeli ve başka bir kötü amaçlı yazılım olup olmadığını araştırmalıdır. Bu durum, Microsoft Exchange veya SharePoint gibi karmaşık uygulamaların internete açık olmaması gerektiğine dair bir hatırlatmadır.”
‘SUNUCULARINIZI KONTROL EDİN’
İnternete açık ve yamalanmamış sunucuların tehlikeye girme olasılığının yüksek olduğunu belirten uzmanlar, şu uyarıları yaptı:
“Bu nedenle, internete açık sunucuların güvenlik değerlendirilmesini bir an önce gerçekleştirin. Güvenlik ihlali durumunda, yöneticiler web kabuklarını kaldırmalı, kimlik bilgilerini değiştirmeli ve herhangi bir ek kötü amaçlı etkinlik olup olmadığı araştırmalıdır. Microsoft tarafından yayınlanan yamaları mümkün olan en kısa sürede uygulamak en iyi tavsiye olsa da, yamaların uygulanması halihazırda virüs bulaşmış bir sunucuyu otomatik olarak temizlemediğinden, Exchange sunucularınızda kötü amaçlı web kabuklarının olup olmadığını kesinlikle kontrol edilmelidir. Bu sürecin sonunda, denetime devam edin ve kalan tüm sunucuları inceleyin.”
HABERTÜRK
