[CA7862] Microsoft Exchange'in yaygın güvenlik açıkları keşfedilip istismar edildi

ESET Müşteri Tavsiyesi 2021-0004
11 Mart 2021
Önem: Kritik

Özet

Microsoft, 2 Mart 2021'de Exchange Server 2013, 2016 ve 2019'daki kritik güvenlik açıkları hakkında bilgi yayınladı. Bu güvenlik açıkları, uzaktaki bir saldırganın herhangi bir erişim kimlik bilgisini bilmeden internet üzerinden erişilebilen herhangi bir Exchange sunucusunu kontrol etmesine olanak tanımaktadır. Aynı zamanda Microsoft, bu güvenlik açıkları için yamalar da yayınladı ve ESET bunları mümkün olan en kısa sürede yüklemenizi şiddetle tavsiye etmektedir.

Detaylar

Güvenlik açıkları ilk olarak 5 Ocak 2021'de Microsoft'a bildirildi. Ancak, raporlar bunların 3 Ocak 2021'de yaygın olarak istismar edildiğini iddia ediyor. ESET, dünya çapında 5000'den fazla sunucunun, ağırlıklı olarak APT (gelişmiş kalıcı tehdit) grupları olmak üzere çeşitli saldırganlar tarafından ele geçirildiğini tespit etti.

Güvenlik açıklarının doğası, sunucuya bir webshell yüklenmesine izin verir ve bu, daha sonra kötü amaçlı yazılım yüklemesi için bir giriş noktası işlevi görebilir. ESET Security ürünleri, istismar sürecinde kullanılan aşağıdaki webshell ve arka kapıları algılar:
  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/Webshell
  • ASP/ReGeorg

Yüksek düzeyde istismar edilebilirlik ve çok sayıda tehdit aktörünün suistimal edebileceği sunucular bulmak için aktif olarak interneti taradığı gerçeği göz önüne alındığında, internete açık çoğu sunucunun tehlikeye atılmış olabileceği beklenmektedir. Daha fazla suistimali önlemek için, Microsoft tarafından sağlanan mevcut güncellemelerin mümkün olan en kısa sürede yüklenmesi gerekir.

Ancak, yamaları uygulamak zaten ihlal edilmiş sunucuları temizlemez. Bu nedenle, bir araştırma yapmak ve ortamdaki tehlikeye atılan kalıntıları ve kötü amaçlı yazılım veya kötü amaçlı yazılım izlerini aramak ve ayrıca erişim kimlik bilgilerini değiştirmek gerekir.


Güvenliği ihlal edilmiş bir sunucunun iyileştirilmesiyle ilgili daha ayrıntılı analiz ve ayrıntılar için lütfen ESET’in WeLiveSecurity blog gönderisine bakın: https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/.


Not: Güvenlik açıklarından biri Exchange Server 2010'u da etkiler. Saldırı zincirinin ilk adımı değildir, ancak derinlemesine savunma amacıyla bir yama yayınlanmıştır. Yine de olası güvenlik açığı için araştırmanız önerilir.

Geri bildirim ve Destek

Bu sorunla ilgili geri bildiriminiz veya sorularınız varsa, lütfen ESET Security Forum veya yerel ESET Teknik Destek aracılığıyla bizimle iletişime geçin.

Kaynaklar

Versiyon logu

Versiyon 1.0 (11 Mart 2021): Belgenin ilk versiyonu