ESET telemetrisine göre, birçok siber casusluk grubunun hedef aldığı güvenlik açıklarından en az biri Amerika’da yer alıyor
Microsoft, 2013, 2016 ve 2019 sürümüne sahip Microsoft Exchange Server’ları etkileyen dört adet sıfır gün hatasına yönelik olarak acil durum güncellemeleri çıkardı. Tehditleri düzenleyenlerin, şirket içindeki Exchange Server’lara erişim sağlamak üzere zayıf noktaları suistimal ettiği gözlemleniyor. Bu sayede e-postaları çalabiliyor, veri indirilebiliyor, hedef aldıkları ağlara uzun süre erişim sağlamak amacıyla makinelere kötü amaçlı yazılım yükleyebiliyorlar. Bu durum oldukça ciddi bir tehdit oluşturduğundan Redmond teknoloji devi, derhal sistemlerini yamamaları konusunda kullanıcılarını uyardı.
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065 şeklinde dizinde yer alan güvenlik açıkları, saldırganlar tarafından bir saldırı zincirinin parçası olarak kullanılıyor. Microsoft’un bu güncellemeye aylık olarak yayımladığı Salı Yaması’nın (Patch Tuesday) bir parçası olarak yer vermek yerine farklı bir zamanda çıkarması, tehdidin ciddiyetini gösteriyor. Microsoft, saldırıyı nispeten daha az bilinen bir Gelişmiş Sürekli Tehdit (APT) grubu olan Hafnium ile ilişkilendiriyor.
ESET telemetrisine göre, bu güvenlik açıklarından en az biri LuckyMouse‘un (Emissary Panda veya APT27 olarak da biliniyor) yanı sıra Tick ve Calypso gibi birçok siber casusluk grubu tarafından hedef alınıyor. CVE-2021-26855 olarak dizinde yer alan hata, bir saldırganın rastgele HTTP taleplerinde bulunmasına ve bu talepleri Exchange Server gibi doğrulamasına olanak sağlamak üzere sahte talep oluşturan sunucu taraflı bir güvenlik açığıdır.
Birçok saldırının Amerika’da bulunan sunucuları hedef aldığı gözlemlense de APT grupları Almanya başta olmak üzere dünya genelinde hükümetlere, hukuk firmalarına ve özel şirketlere ait sunucuları da hedef alıyor.
Most targets are located in the US but we’ve seen attacks against servers in Europe, Asia and the Middle East. Targeted verticals include governments, law firms, private companies and medical facilities. 3/5 pic.twitter.com/kwxjYPeMlm
— ESET research (@ESETresearch) 2 Mart 2021
Hafnium
Bu saldırılarla ilgili olarak Microsoft açıklamasında şu şekilde bahsediliyor: “MSTIC tarafından ayrıntılı bir şekilde söz edilen bu suistimalleri günümüze kadar kullanan başlıca saldırgan grup Hafnium’dur. Bu saldırılar üç adımdan oluştur. İlk adım, çalıntı parolaları veya erişim sahibi birinin kılığına bürünerek daha önce fark edilmemiş güvenlik açıklarını kullanarak Exchange Server’a erişim sağlamaktır. İkinci adımda ihlal edilen sunucuyu uzaktan kontrol etmek üzere bir web kabuğu oluşturulur. Son olarak ise Amerika tabanlı özel sunucularla uzaktan erişim sağlanarak bir kuruluşun ağından veriler çalınır.”
Ayrıca şirket 2020 Ekim ayından bu yana desteklenmeyen Microsoft Exchange Server 2010 için de bir “Derinlemesine Savunma güncellemesi” yayımladı. Microsoft konuyla ilgili şöyle söyledi: “Dış kaynaklarla iletişim halinde olan Exchange Server’lara güncellemelerin yüklenmesine öncelik verilmesini tavsiye ediyoruz. Etkilenen tüm Exchange Server’lar mutlaka güncellenmelidir.”
Amerika, Avrupa, Hong Kong ve Singapur başta olmak üzere dünya genelinde Bilgisayar Acil Durum Müdahale Ekipleri (CERT) de kullanıcıları ve yöneticileri, derhal güncellemeleri yüklemeleri ve dışarıdan bir sızıntı veya ihlal belirtisi olasılığına karşı Exchange giriş dosyalarını taramaları konusunda uyardı.
ESET araştırmacıları da şirketlere kritik öneme sahip uygulamaların internete maruz kalmasını Sanal Özel Ağ (VPN) gibi yöntemlerle sınırlandırmalarını tavsiye ediyor.