ESET, dünya genelindeki Exchange sunucularındaki güvenlik açıklarından yararlanan bir yığın APT grubuna ışık tutmadan önce, daha az sayıda kişi hedefli saldırılarda sıfır gün kullanıyordu ve bu da CISO'ların güvenlik yaklaşımlarını yeniden gözden geçirmelerine neden oluyordu.
2021'in başında, SolarWinds tedarik zinciri saldırısının başlangıçta bildirilenden giderek daha kötü duruma geldiği ortaya çıktı ve bu da, yazılım sağlama ve entegrasyon güvenliğiyle ilgili birçok bağımlılık olduğunu ve bu faktörlerin beklenmedik siber saldırılara yol açabileceği gerçeğini hatırlattı. Mesela bu olayda, meşru Orion yazılımına yapılan bir güncelleme, kötü amaçlı yazılımlarla doluydu.
Şimdi, Microsoft Exchange'e karşı en az 10 gelişmiş kalıcı tehdit (APT) grubu tarafından gerçekleştirilen son saldırı dalgası bizim için yeni bir ders oldu. - Exchange veya SharePoint gibi iş uygulamalarının saldırı yüzeyini azaltmanın önemi. Kamu görevlileri, BT güvenlik yöneticileri, halkla ilişkiler çalışanları vb. dahil olmak üzere birçok işte çalışan insanlar için, mesai saatleri dışında bile zamanında iletişim ve yanıt vazgeçilmezdir ve e-posta genellikle tercih edilen bir araçtır.
Exchange, adını e-posta hizmetleri için "kurumsal seçim" olarak belirlerken, APT gruplarının da ilgisini çekmiştir - yani Exchange sunucularını güvence altına almak çok önemlidir. Ancak BT personeli için bile, Exchange'in şirket içi sürümünü kurmak ve çalıştırmak biraz zor olabilir, çünkü bu karmaşık bir uygulamadır ve sürdürmek, vahşi bir ata binmek gibi olabilir.
Exchange sunucularının toplu olarak istismar edilmesinin de gösterdiği gibi, tehlikeden kaçınmak için zamanında düzeltme ve yamaları uygulamak çok zor olabiliyor. Şirketler en azından, e-posta sunucularına gerekli olmayan internet erişimini daha iyi güvence altına almak için sanal bir özel ağ ve çok faktörlü kimlik doğrulaması gerektirerek davetsiz misafirlere karşı zorluk düzeyini yükseltmelidirler.
Bir saldırı çılgınlığı: APT grupları, Exchange'deki son güvenlik açıklarından yararlanmak için zamana karşı yarışıyor
Mart ayı başlarında, Exchange'deki güvenlik açıkları hala sıfır gün iken, en az altı APT grubu bu güvenlik açıklarını hedefli saldırılarda kullanıyordu. Microsoft yamaları yayınladıktan kısa bir süre sonra ESET, e-posta sunucularında tespit edilen web kabuklarında büyük bir artış kaydeden ESET telemetrisiyle dört ek grubun savaşa katıldığını gördü. Açıkçası, kuruluşlar yamaları uygulayarak kapıyı kapatmadan önce yamalanmamış e-posta sunucularına girişi denemek ve kalıcılık sağlamak için bir yarış başlamıştı.
Avrupa Bankacılık Otoritesi ve Norveç Parlamentosu saldırılardan etkilendiklerini kamuoyuna açıklarken, ESET dünya çapında aşağıdakiler de dahil olmak üzere etkilenen 5.000'den fazla e-posta sunucusu gördü:
- Orta Doğu, Güney Amerika, Afrika, Asya ve Avrupa'da devlet kurumları;
- Orta Asya'da bir kamu hizmeti şirketi;
- Güney Kore'de bir BT hizmetleri şirketi;
- yazılım geliştirme ve siber güvenlik konusunda uzmanlaşmış, her ikisi de Rusya'da bulunan bir satın alma şirketi ve bir danışmanlık şirketi;
- Moğolistan'da bir petrol şirketi;
- Tayvan'da bir inşaat ekipmanı şirketi;
- Japonya merkezli bir yazılım geliştirme şirketi; ve
- İsrail merkezli bir emlak şirketi.
Saldırılarda kullanılan sıfır gün, ön kimlik doğrulamalı uzaktan kod yürütme (RCE) güvenlik açıkları olarak bilinir - muhtemelen en kötü tür: saldırganlar, herhangi bir kimlik bilgisine ihtiyaç duymadan, özellikle internet yoluyla, erişilebilen herhangi bir Exchange sunucusuna sızabilir.
Exchange için güvenlik ve kullanılabilirlik ihtiyaçlarını nasıl dengeliyorsunuz?
Exchange ve SharePoint gibi kritik uygulamalarınıza internetten direk erişimi sağlamaktan kaçınmak daha güvenli olsa da, bu mümkün değilse ne yapabilirsiniz? Sıfır gün saldırısında saldırganların bir adım gerisindesiniz. Özel BT ekipleri ve yamalar hızlı bir şekilde ortaya çıksa bile, bir sızıntıyı önlemek için bu yamaları zamanında uygulamak, ceplerinde sıfır gün açıkları olan saldırganların bir adım önde olduğu bir yarıştır.
Belki de bu deneyimin CISO'lara gösterdiği şey, güvenlik için “varsayalım saldırıya uğradım” yaklaşımını benimsemenin faydasıdır. Mesele sadece bir uzman Exchange yöneticisine ve güvenlik ekibine sahip olmak değildir, ister şirket içinde ister dışarıdan yönetilen bir hizmet sağlayıcısından sağlanmış olsun, saldırıya uğramanızın sadece bir "zaman meselesi"olduğunu kabul edin.
Ardından, sisteminizi uç nokta algılama ve yanıt (EDR) çözümleri gibi tehdit avlama araçlarıyla donatmak için ihtiyaç duyduğunuz yatırım gözünüzde eskisi kadar büyümez. EDR çözümlerini en iyi şekilde kullanabilecek bir güvenlik ekibine veya hizmet sağlayıcısına hala ihtiyacınız var.
Yine de ek fayda, uygulamalarınızla sahip olmak istediğiniz esneklik ve kullanılabilirliğin bir kısmını geri almanızdır. Uygulamalarınızın ve sunucularınızın bilinmeyen zayıflıklardan faydalanılarak zorlanabileceğini biliyorsunuz, ancak artık bu kadar endişeli olmayacaksınız çünkü artık bu tür saldırılarla hemen başa çıkabilirsiniz - bu da kullanılabilirlik ve güvenlik arasındaki dengeyi yeniden kurmanız demek.
ESET müşterilerinin daha fazla bilgi için aşağıdaki makaleleri okumaları önerilir:
- ESET Müşteri Danışma Belgesi: Microsoft Exchange güvenlik açıkları keşfedildi ve yaygın ortamda kullanıldı
- ESET Bilgi Bankası: ESET, Microsoft Exchange'deki Hafniyum sıfır gün istismarından beni koruyor mu?
Blog: En az 10 APT grubu tarafından kuşatma altındaki Exchange sunucuları