Ulusal Güvenlik Ajansı (NSA) geçtiğimiz günlerde, kötü niyetli aktörlerin internete yönelik Microsoft Exchange sunucularındaki CVE-2020-0688 güvenlik açığından yararlanmayı aramayı bırakmadıkları konusunda uyardı.
Bu özel tehdit, Microsoft'un önerdiği gibi güvenlik açığı bulunan sunuculara sahip tüm kuruluşlara şimdiye kadar yazılacak bir şey olmazdı.
NSA tarafından yapılan bir Tweet'e göre, bir bilgisayar korsanının yama uygulanmamış bir sunucuda uzaktan kod yürütmek için yalnızca geçerli e-posta kimlik bilgilerine ihtiyacı vardır.
Uzaktan kod yürütme #güvenlik açığı (CVE-2020-0688), Microsoft Exchange Server'da bulunmaktadır. Yama uygulanmamışsa, e-posta kimlik bilgilerine sahip bir saldırgan sunucunuzda komut yürütebilir.
Azaltma Rehberi şu adreste mevcuttur: https://t.co/MMlBo8BsB0
— NSA/CSS (@NSAGov) 7 Mart 2020
APT aktörleri, yama uygulanmamış sunucuları aktif olarak ihlal ediyor
Haberler 25 Şubat 2020'de ortaya çıkan, yama uygulanmamış MS Exchange sunucuları için geniş çaplı bir tarama. O zaman, başarılı bir sunucu ihlaline ilişkin tek bir rapor yoktu.
Ancak bir siber güvenlik kuruluşu olan Zero Day Initiative, daha önce bir rapor yayınlamıştı. konsept kanıtı videosu, uzak bir CVE-2020-0688 saldırısının nasıl yürütüleceğini gösteren.
Şimdi, açıkta kalan internete açık sunucuların aranması, habersiz yakalanan birkaç kuruluşun ıstırabına meyve vermiş gibi görünüyor. Bir siber güvenlik firmasının Tweeti de dahil olmak üzere birçok rapora göre, Microsoft Exchange sunucularından aktif olarak yararlanılıyor.
ECP güvenlik açığı CVE-2020-0688 aracılığıyla APT aktörleri tarafından Microsoft Exchange sunucularının aktif olarak kullanılması. Saldırılar ve kuruluşunuzu nasıl koruyacağınız hakkında buradan daha fazla bilgi edinin: https://t.co/fwoKvHOLaV#dfir#tehdit#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6 Mart 2020
Daha da endişe verici olan, Gelişmiş Kalıcı Tehdit (APT) aktörlerinin tüm plana dahil olmasıdır.
Tipik olarak, APT grupları eyaletler veya devlet destekli kuruluşlardır. En sıkı korunan kurumsal BT ağlarına veya kaynaklarına gizlice saldıracak teknolojiye ve finansal güce sahip oldukları biliniyor.
Microsoft, neredeyse bir ay önce CVE-2020-0688 güvenlik açığının önem derecesini önemli olarak değerlendirdi. Bununla birlikte, NSA teknoloji dünyasına bunu hatırlattığı için, RCE boşluğu bugün hala ciddi bir değerlendirmeyi hak etmelidir.
Etkilenen MS Exchange sunucuları
Hala yama uygulanmamış, internete bakan bir MS Exchange sunucusu çalıştırıyorsanız, olası bir felaketi önlemek için ASAP'ı yamaladığınızdan emin olun. Var güvenlik güncellemeleri etkilenen sunucu sürümleri 2010, 2013, 2016 ve 2019 için.
Microsoft, güncellemeleri yayınlarken, söz konusu güvenlik açığının sunucunun kurulum sırasında doğrulama anahtarlarını düzgün bir şekilde oluşturma yeteneğini tehlikeye attığını söyledi. Saldırgan, bu boşluktan yararlanabilir ve açıkta kalan bir sistemde uzaktan kötü amaçlı kod yürütebilir.
Doğrulama anahtarı bilgisi, kimliği doğrulanmış bir kullanıcının, SYSTEM olarak çalışan web uygulaması tarafından seri durumdan çıkarılacak rasgele nesneleri geçirmesine izin verir.
Çoğu siber güvenlik araştırmacısı, bir BT sistemini bu şekilde ihlal etmenin hizmet reddi (DDoS) saldırılarının önünü açabileceğine inanıyor. Ancak Microsoft, böyle bir ihlalin raporlarını aldığını kabul etmedi.
Şimdilik, CVE-2020-0688 sunucu güvenlik açığı için mevcut tek çözüm yamayı yüklemek gibi görünüyor.
