ESET Müşteri Tavsiyesi 2021-0004
11 Mart 2021
Önem: Kritik
Özet
Microsoft, 2 Mart 2021'de Exchange Server 2013, 2016 ve 2019'daki kritik güvenlik açıkları hakkında bilgi yayınladı. Bu güvenlik açıkları, uzaktaki bir saldırganın herhangi bir erişim kimlik bilgisini bilmeden internet üzerinden erişilebilen herhangi bir Exchange sunucusunu kontrol etmesine olanak tanımaktadır. Aynı zamanda Microsoft, bu güvenlik açıkları için yamalar da yayınladı ve ESET bunları mümkün olan en kısa sürede yüklemenizi şiddetle tavsiye etmektedir.
Detaylar
Güvenlik açıklarının doğası, sunucuya bir webshell yüklenmesine izin verir ve bu, daha sonra kötü amaçlı yazılım yüklemesi için bir giriş noktası işlevi görebilir. ESET Security ürünleri, istismar sürecinde kullanılan aşağıdaki webshell ve arka kapıları algılar:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Yüksek düzeyde istismar edilebilirlik ve çok sayıda tehdit aktörünün suistimal edebileceği sunucular bulmak için aktif olarak interneti taradığı gerçeği göz önüne alındığında, internete açık çoğu sunucunun tehlikeye atılmış olabileceği beklenmektedir. Daha fazla suistimali önlemek için, Microsoft tarafından sağlanan mevcut güncellemelerin mümkün olan en kısa sürede yüklenmesi gerekir.
Ancak, yamaları uygulamak zaten ihlal edilmiş sunucuları temizlemez. Bu nedenle, bir araştırma yapmak ve ortamdaki tehlikeye atılan kalıntıları ve kötü amaçlı yazılım veya kötü amaçlı yazılım izlerini aramak ve ayrıca erişim kimlik bilgilerini değiştirmek gerekir.
Güvenliği ihlal edilmiş bir sunucunun iyileştirilmesiyle ilgili daha ayrıntılı analiz ve ayrıntılar için lütfen ESET’in WeLiveSecurity blog gönderisine bakın: https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/.
Not: Güvenlik açıklarından biri Exchange Server 2010'u da etkiler. Saldırı zincirinin ilk adımı değildir, ancak derinlemesine savunma amacıyla bir yama yayınlanmıştır. Yine de olası güvenlik açığı için araştırmanız önerilir.
Geri bildirim ve Destek
Bu sorunla ilgili geri bildiriminiz veya sorularınız varsa, lütfen ESET Security Forum veya yerel ESET Teknik Destek aracılığıyla bizimle iletişime geçin.
Kaynaklar
- Exchange servers under siege from at least 10 APT groups — ESET’s WeLiveSecurity blog post
- ESET Research’s initial tweets
- Does ESET protect me from the Hafnium zero-day exploit in Microsoft Exchange? — ESET Knowledgebase article
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 — vulnerability details at Microsoft Security Response Center
- HAFNIUM targeting Exchange Servers with 0-day exploits — Microsoft Security blog post
- Multiple Security Updates Released for Exchange Server — Microsoft Security Response Center blog post
- Microsoft Exchange Server Vulnerabilities Mitigations — Microsoft Security Response Center blog post
- March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server — Exchange Team blog post at Microsoft Tech Community
Versiyon logu
Versiyon 1.0 (11 Mart 2021): Belgenin ilk versiyonu