[CA7862] Microsoft Exchange'in yaygın güvenlik açıkları keşfedilip istismar edildi

ESET Müşteri Tavsiyesi 2021-0004
11 Mart 2021
Önem: Kritik

Özet

Microsoft, 2 Mart 2021'de Exchange Server 2013, 2016 ve 2019'daki kritik güvenlik açıkları hakkında bilgi yayınladı. Bu güvenlik açıkları, uzaktaki bir saldırganın herhangi bir erişim kimlik bilgisini bilmeden internet üzerinden erişilebilen herhangi bir Exchange sunucusunu kontrol etmesine olanak tanımaktadır. Aynı zamanda Microsoft, bu güvenlik açıkları için yamalar da yayınladı ve ESET bunları mümkün olan en kısa sürede yüklemenizi şiddetle tavsiye etmektedir.

Detaylar

Güvenlik açıkları ilk olarak 5 Ocak 2021'de Microsoft'a bildirildi. Ancak, raporlar bunların 3 Ocak 2021'de yaygın olarak istismar edildiğini iddia ediyor. ESET, dünya çapında 5000'den fazla sunucunun, ağırlıklı olarak APT (gelişmiş kalıcı tehdit) grupları olmak üzere çeşitli saldırganlar tarafından ele geçirildiğini tespit etti.

Güvenlik açıklarının doğası, sunucuya bir webshell yüklenmesine izin verir ve bu, daha sonra kötü amaçlı yazılım yüklemesi için bir giriş noktası işlevi görebilir. ESET Security ürünleri, istismar sürecinde kullanılan aşağıdaki webshell ve arka kapıları algılar:

JS/Exploit.CVE-2021-26855.Webshell.A
JS/Exploit.CVE-2021-26855.Webshell.B
ASP/Webshell
ASP/ReGeorg

Yüksek düzeyde istismar edilebilirlik ve çok sayıda tehdit aktörünün suistimal edebileceği sunucular bulmak için aktif olarak interneti taradığı gerçeği göz önüne alındığında, internete açık çoğu sunucunun tehlikeye atılmış olabileceği beklenmektedir. Daha fazla suistimali önlemek için, Microsoft tarafından sağlanan mevcut güncellemelerin mümkün olan en kısa sürede yüklenmesi gerekir.

Ancak, yamaları uygulamak zaten ihlal edilmiş sunucuları temizlemez. Bu nedenle, bir araştırma yapmak ve ortamdaki tehlikeye atılan kalıntıları ve kötü amaçlı yazılım veya kötü amaçlı yazılım izlerini aramak ve ayrıca erişim kimlik bilgilerini değiştirmek gerekir.

Güvenliği ihlal edilmiş bir sunucunun iyileştirilmesiyle ilgili daha ayrıntılı analiz ve ayrıntılar için lütfen ESET’in WeLiveSecurity blog gönderisine bakın: https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/.

Not: Güvenlik açıklarından biri Exchange Server 2010'u da etkiler. Saldırı zincirinin ilk adımı değildir, ancak derinlemesine savunma amacıyla bir yama yayınlanmıştır. Yine de olası güvenlik açığı için araştırmanız önerilir.

Geri bildirim ve Destek

Bu sorunla ilgili geri bildiriminiz veya sorularınız varsa, lütfen ESET Security Forum veya yerel ESET Teknik Destek aracılığıyla bizimle iletişime geçin.

Kaynaklar

Exchange servers under siege from at least 10 APT groups — ESET’s WeLiveSecurity blog post
ESET Research’s initial tweets
Does ESET protect me from the Hafnium zero-day exploit in Microsoft Exchange? — ESET Knowledgebase article
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 — vulnerability details at Microsoft Security Response Center
HAFNIUM targeting Exchange Servers with 0-day exploits — Microsoft Security blog post
Multiple Security Updates Released for Exchange Server — Microsoft Security Response Center blog post
Microsoft Exchange Server Vulnerabilities Mitigations — Microsoft Security Response Center blog post
March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server — Exchange Team blog post at Microsoft Tech Community

Versiyon logu

Versiyon 1.0 (11 Mart 2021): Belgenin ilk versiyonu

Son Revize: 16 Mar 2021