Microsoft nihayet, bugün çok sayıda şirket içi Microsoft Exchange sürümünü etkileyen aktif olarak sömürülen proxyshell güvenlik açıkları için rehberlik etmiştir.
Proxyshell, PWN2OWN 2021 Hacking Yarışması sırasında bir Microsoft Exchange sunucusunu ödün verecek olan Devcore Security Araştırmacı Orange Tsai tarafından keşfedilen üç güvenlik kusurunun (Nisan ayında ve Mayıs ayında yamalı) bir koleksiyondur.
Microsoft, proxyshell hatalarını 2021 yılına kadar tam olarak yamalamasına rağmen, Temmuz ayına kadar güvenlik açıkları için CVE ID'leri atamadılar, bazı org'lerin ağlarındaki savunmasız sistemleri olduğunu keşfettiklerini keşfedin.
Güvenlik Araştırmacıları ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ağustos ayının başlarında başlayan proxyshell istismarlarını kullanarak devam eden saldırılara karşı savunmak için Exchange sunucularını düzeltmeleri için Admins'i uyardı.
Bununla birlikte, önceki tüm aktif saldırıların uyarılarına rağmen, Microsoft müşterileri şirket içi borsa sunucularının bugüne kadar saldırı altında olduğunu bildiremedi.
Borsa ekibi, "Geçen hafta geçen hafta, güvenlik araştırmacıları, Ransomware'i dağıtmak ya da diğer sömürü sonrası aktiviteler yapmak için açılmamış Exchange sunucularından yararlanılabilecekleri de dahil olmak üzere çeşitli proxyshell güvenlik açıklarını tartıştı" dedi. [Bizimkini vurgulayın]
"Mayıs 2021 güvenlik güncellemelerini veya Exchange sunucularınızdaki Temmuz 2021 güvenlik güncellemelerini yüklediyseniz, bu güvenlik açıklarından korunursunuz. Exchange çevrimiçi müşteriler de korunur (ancak tüm Hybrid Exchange sunucularının güncellendiğinden emin olmalısınız". "
Microsoft, müşterilerin, proxyshell saldırılarını engellemek için desteklenen en yeni kümülatif güncellemelerden en az birini kurmaları gerektiğini söylüyor.
Aşağıdaki koşullardan herhangi biri doğru olması durumunda, Microsoft'a göre, Exchange Sunucuları savunmasızdır:
CISA'nın pazartesi günü, birden fazla tehdit aktörünün aktif olarak yararlandığı UYARI Proxyshell güvenlik açıklarından sonra, ağlarını bir saldırı dalgasından korumak için mart ayındaki örgütleri uyardıklarından sonra geldi.
Mart döviz saldırıları, toplu olarak proxylogon olarak bilinen dört sıfır günlük döviz bozdurma hatası hedefleyen sömürü kullanılarak dünya çapında on binlerce kuruluştan oluşan Çin devlet destekli bilgisayar korsanları tarafından düzenlenmiştir.
Tıpkı Mart ayında olduğu gibi, saldırganlar şimdi güvenlik araştırmacıları ve tehdit aktörleri bir işten çıkardıktan sonra Proxyshell güvenlik açıklarını kullanarak Microsoft Exchange sunucularını taramak ve hacklemek.
Başlangıçta, Exchange Sunucuları'na düşen proxyshell yükleri zararsız, saldırganlar şimdi Windows PetitPotam istismarları aracılığıyla ödün verilen Windows etki alanları arasında iletilen LockFile Ransomware yüklerini dağıtıyor.
Sorunun ölçeğiyle ilgili bir fikrine sahip olmak için, güvenlik firması Hunter Labs yakın zamanda, geçen hafta 1.900'den fazla tehlikeye giren Microsoft Exchange sunucusundaki saldırganlar tarafından konuşlandırılan 140'dan fazla web kabuğu bulduğunu söyledi.
Shodan ayrıca, çoğu ABD ve Almanya'da bulunan Proxyshell saldırılarına karşı on binlerce değişim sunucusu takip ediyor.
Exchange sunucularının% 18'inden fazlası, proxyshell güvenlik açığı için açılmamış. Neredeyse% 40, CVE-2021-31206'ya karşı savunmasızdır: https://t.co/7yetz9gojw pic.twitter.com/0r2aoqsibb
"Microsoft Exchange Server sömürüsündeki yeni dalgalanma," NSA Cybersecurity Director Rob Joyce, hafta sonu da uyardı. "Bir örneği barındırıyorsanız, yamalı ve izlemenizi sağlamalısınız."
NSA ayrıca savunmacıların, Mart ayında yayınlanan rehberliğin web kabukları için avlanma konusunda yayınlanan rehberliğin devam eden proxyshell'e devam eden saldırılara karşı savunmak için kullanılabileceğini hatırlattı.
Microsoft, savunmasız sunucuları sömürüye karşı koruma ve tespit etme konusunda daha fazla rehberlik gösterene kadar, Gizli Exchange Sunucuları'nın nasıl tanımlanacağı ve Güvenlik Araştırmacısı Kevin Beaumont tarafından yayınlanan blog yazılarında sömürü denemelerinin nasıl tespit edileceğine ilişkin ayrıntılı bilgileri bulabilirsiniz.
Microsoft Exchange Sunucuları Yeni LockFile Ransomware tarafından hacklendi
Microsoft Exchange Sunucuları Proxyshell Exploits üzerinden hackleniyor
Microsoft Exchange Sunucuları Proxyshell Güvenlik Açığı için Taranan, Şimdi Yama
CISA, Acca Patch PROXYSHELL BUGS'leri ACIRILDIYOR
Microsoft, başka bir Windows yazdırma biriktiricisi sıfır gün böcek onaylar
Kaynak: Bleeping Computer