Siber pandemi bu defa Microsoft Exchange kullanıcılarını vurdu! Microsoft mesajlaşma sistemi Exchange sunucularında bulunan güvenlik zafiyetinden yüz binden den fazla kuruluş etkilenmiş durumda. Bu durumdan mağdur olan kurumlar, ilgili zafiyeti kullanarak kurumların sistemlerine sızmaya çalışan bir Çin siber casusluk birimi tarafından saldırıya uğradı.
Hafniyum isimli casusluk grubu, Microsoft Exchange Sunucu mesajlaşma sisteminde yeni keşfedilen dört adet zafiyeti kullanıyor ve etkilenen sistemler üzerinde tam ve uzaktan kontrol sağlayan araçlarla dünya çapında yüz binlerce kuruma sızmaya çalışıyor.
Microsoft, 2 Mart’ta Exchange Server 2013-2019 sürümlerinde, bilgisayar korsanlarının Exchange çalıştıran İnternet’e açık sistemlerden e-posta iletişimlerine erişmek için aktif olarak kullandığı dört güvenlik açığını kapatmak için acil durum güvenlik güncellemeleri yayınladı .
Microsoft, Exchange’in kusurlarının ” Hafniyum ” adını verdiği daha önce tanımlanamayan Çinli bir bilgisayar korsanlığı ekibi tarafından hedeflendiğini söyledi ve grubun güvenlik açığı araştırmacıları, hukuk firmaları, eğitim kurumları, savunma proje müteahhitleri, politika ve düşünce kuruluşları ve STK’lar gibi çeşitli endüstri sektörleri tarafından kullanılan e-posta sistemlerine hedefli saldırılar gerçekleştirdiğini söyledi.
Microsoft, Exchange’de önceden bilinmeyen güvenlik açıklarına yönelik saldırıları ne zaman öğrendi?
Şimdiye kadar bilinen en eski rapor, 5 Ocak’ta, güvenlik testi firması DEVCORE’un ” Orange Tsai ” ile ilgilenen bir güvenlik araştırmacısı tarafından geldi . DEVCORE, Microsoft’un 2 Mart’ta yamaladığı dört Exchange kusurundan ikisini bildirmiş.
Va. tabanlı Volexity , Reston, ilk olarak 6 Ocak’ta kusurlara yönelik saldırıları tespit etti ve 2 Şubat’ta Microsoft’u resmi olarak bilgilendirdi. Volexity artık saldırı trafiğinin 3 Ocak’a kadar gittiğini görebildiğini söylüyor.
Danimarkalı güvenlik firması Dubex , müşterilerin ilk kez 18 Ocak’ta saldırdığını gördüğünü ve olay yanıt bulgularını 27 Ocak’ta Microsoft’a bildirdi.
Burada istismar edilen güvenlik açıkları ne kadar zamandır var?
Microsoft, 2 Mart’ta Exchange Server 2013’ten 2019’a kadar dört kusuru düzeltti. Exchange Server 2010 artık desteklenmiyor, ancak yazılım devi bir “derinlemesine savunma” istisnası yaptı ve Server 2010 kullanıcılarına da ücretsiz bir yama verdi. Bu, saldırganların istismar ettiği güvenlik açıklarının Microsoft Exchange Server kod tabanında on yıldan uzun süredir olduğu anlamına geliyor.
Zaman çizelgesi aynı zamanda Microsoft’un 2 Mart’ta nihayetinde gönderdiği yamayı yaymak veya saldırganlar ayrım gözetmeksizin yararlanmaya başlamadan önce yüz binlerce Exchange müşterisinin bu kusurdan kaynaklanan tehdidi azaltmasına yardımcı olmak için neredeyse iki ayı olduğu anlamına geliyor.
İşte şimdiye kadar bildiğimiz kadarıyla kaba bir zaman çizelgesi:
- 5 Ocak: DEVCORE, Microsoft’u bulguları konusunda uyardı.
- 6 Ocak: Volexity, Exchange’deki bilinmeyen güvenlik açıklarını kullanan saldırıları tespit ediyor.
- 8 Ocak: DEVCORE, Microsoft’un sorunları yeniden ürettiğini ve bulgularını doğruladığını bildirdi.
- 25 Ocak: DEVCORE , artık güvenlik açığı keşif sürecini açıklamak için kullanılan bir alan adı olan proxylogon.com’u yakaladı .
- 27 Ocak: Dubex, Microsoft’u yeni bir Exchange kusuruna yönelik saldırılar konusunda uyarır.
- 29 Ocak: Trend Micro, ” Kıyıcı ” web kabuklarının Exchange kusurları nedeniyle düşürüldüğü hakkında bir blog yazısı yayınladı.
- 2 Şubat: Volexity, Microsoft’u önceden bilinmeyen Exchange güvenlik açıklarına yönelik etkin saldırılar konusunda uyarıyor.
- 8 Şubat: Microsoft, Dubex’e raporunu dahili olarak “artırdığını” söyledi.
- 18 Şubat: Microsoft, DEVCORE ile Exchange kusurlarına yönelik güvenlik güncellemelerini yayınlamak için 9 Mart (yarın) hedef tarihini onayladı. Bu, ayın ikinci Salı günü – Microsoft’un aylık güvenlik güncellemelerini yayınladığı ” Salı Günü” olarak da bilinir (ve evet bu, her zaman sürükleyici Yama Salı toplantısı için yarın burayı tekrar kontrol etmeniz anlamına gelir ).
- 26-27 Şubat: Hedeflenen sömürü, kademeli olarak küresel bir toplu taramaya dönüşüyor; saldırganlar, savunmasız sunuculara hızla arka kapı açmaya başlar.
- 2 Mart: Microsoft, önceden planlanandan bir hafta önce 4 sıfır gün kusurunu kapatmak için güncellemeler yayınladı.
- 2 Mart: DEVCORE araştırmacısı Orange Tsai (geçmişte oldukça ürkütücü bazı böcekleri bulup bildirmesiyle tanınmıştı) 5 Ocak’taki “muhtemelen şimdiye kadarki en ciddi [uzaktan yararlanılabilir hata] tweetinin kaynağı olarak kimsenin Exchange’i tahmin etmediği şakalar yapıyor . rapor edildi. “
- 3 Mart: Dünya çapında on binlerce Exchange sunucusunun güvenliği ihlal edildi ve her saat binlerce sunucu yeni bir şekilde saldırıya uğradı.
- 4 Mart: Beyaz Saray Ulusal Güvenlik Danışmanı Jake Sullivan , Exchange kusurlarını yamamanın önemi ve sistemlerin zaten tehlikeye atılmış olup olmadığını nasıl tespit edeceği hakkında tweet attı.
- 5 Mart 13:26 ET: Canlı brifingde, Beyaz Saray basın sekreteri Jen Psaki saldırının boyutuyla ilgili endişelerini dile getirdi .
- 5 Mart, 16:07 ET: KrebsOnSecurity , ABD’de en az 30.000 kuruluşun ve dünya çapında yüz binlerce kuruluşun artık arka kapıların kurulduğu haberini veriyor .
- 5 Mart, 18:56 ET: Wired.com, bildirilen kurban sayısını doğruladı.
- 5 Mart, 20:04 ET: Eski CISA başkanı Chris Krebs , kamuoyuna duyurulan “cüce” gerçek kurban numaralarına tweet attı .
- 6 Mart: CISA , “Microsoft Exchange Server kusurlarının yaygın olarak yerel ve uluslararası düzeyde istismar edildiğinin” farkında olduğunu söylüyor .
- 7 Mart: Güvenlik uzmanları, mağdurları bilgilendirmek, iyileştirmeyi koordine etmek ve bu saldırıdan “Aşama 2” için tetikte kalmak için çaba göstermeye devam ediyor (zaten tehlikeye atılmış sunucuların daha fazla kullanılması).
Bu zaman planına göre Microsoft’un ilgili açıkları kapatmak için geç kaldığı görülüyor. Mutlaka bu konuyla ilgili Microsoft’un bir açıklaması vardır, bekleyip göreceğiz.
Umarım söz konusu güvenlik açığı bulunan kurumlar bu saldırılardan etkilenmeden ilgili açıkları kapatarak normale dönerler.
Bu olaylar ne ilk ne de son olacak. Bunun farkında olmalı ve önlemlerini almaları gerekir. Özellikle bu Exchange vakasına benzer olaylardan bir daha etkilenmemek için Zero Trust prensipleri ile ilgili yazılarımızı takip etsinler. Bir sonraki yazıda Zero Trust bu tür saldırıları nasıl önler kaleme alacağım.
Kaynaklar:
https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/
https://krebsonsecurity.com/2021/03/warning-the-world-of-a-ticking-time-bomb/
Yorum yazabilmek için oturum açmalısınız.