Microsoft, 2 Mart tarihinde Microsoft Exchange sunucularını etkileyen ve daha önce keşfedilmemiş bir dizi güvenlik açığına dair bulgularını kamuoyuyla paylaştı. Keşfedilen güvenlik açıklarının, arkasında devlet desteği olduğuna inanılan HAFNIUM tehdit grubu tarafından aktif olarak istismar edildiği ortaya çıktı.
Microsoft, Microsoft Exchange Server 2013, 2016 ve 2019 sürümlerini etkileyen güvenlik açıklarını kapatmak için hızla yama yayınlarken, Amerikan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) kurumları şirket içi Exchange sunucularını bir an önce yamalamaya ve saldırıya dair izler için ağ taraması yapmaya çağıran bir acil durum yönergesi yayınladı.
Sophos konuyu yakından takip ediyor ve bu tehdidi ortadan kaldırmak için bulgularını düzenli olarak paylaşıyor. Sophos Yönetilen Tehdit İstihbaratı Kıdemli Direktörü Mat Gangwer’in konuyla ilgili yorumları şöyle.
“Söz konusu güvenlik açıkları, potansiyel saldırganların herhangi bir kimlik bilgisine ihtiyaç duymadan Exchange sunucularında uzaktan komut çalıştırabilmesine izin veriyor. Bu durum son derece önemli ve ciddiye alınması gereken bir konu. Microsoft Exchange’in yaygın kullanımı ve internete açık yapısı, şirket içi Exchange sunucusu çalıştıran birçok kuruluşun risk altında olabileceği anlamını taşıyor.
Saldırganlar, öncelikli teknik olarak web shell konuşlandırması yoluyla bu güvenlik açıklarını aktif olarak kullanıyor. Bu konuşlandırma keşfedilmediği sürece sunucular siber saldırganların her türden manipülasyonuna açık hale geliyor.
Şirket içi Exchange sunucusu çalıştıran kuruluşların, bu tehditten etkilendiklerini varsayarak tüm Exchange yamalarını ve güncellemelerini bir an önce yüklemesi gerekiyor. Ancak bu yamaları uygulamak, yama işlemi öncesi yapılan olası saldırıların neden olduğu potansiyel hasarı ortadan kaldırmak için yeterli değil. Bu nedenle saldırganların Exchange sunucularını istismar etmiş olabileceğine dair işaretleri yakın takibe almalısınız.
Şu anda bilinen güvenlik ihlal göstergelerinin çoğu web shell tabanlı olduğundan, Exchange sunucusunda dosya kalıntıları olacaktır. Halihazırda yüklü bir Uç Nokta Tehdit Algılama ve Yanıt (EDR) çözümünüz varsa, değiştirilen dosyalara ve yürütülen komutlara dair kayıtları inceleyebilirsiniz.
Herhangi bir anormal veya şüpheli aktiviteyle karşılaşırsanız, sonrasında ne yapacağınıza karar verebilmek için saldırının boyutunu ve niteliğini belirlemelisiniz. Ağınızdaki web shell veya diğer yapay nesnelerin fark edilmesiyle yama veya keşif anı arasında geçen zaman son derece önemlidir. Bu noktada ne yapacağınızdan emin değilseniz, dışarıdan uzman bir güvenlik desteği almayı düşünebilirsiniz. Üçüncü parti siber saldırı araştırma ve tehdit avlama hizmetleri, ağınızın derinliklerine inerek saldırganları ortaya çıkarabilen gerçek uzmanlarla çalışmanızı sağlar.
Sophos Yönetilen Tehdit Müdahalesi ekibi, keşfedilen bu yeni tehdide karşı tespit ve savunmayı iyileştirmek adına kullanılabilecek uzlaşma göstergelerini ortaya çıkarmak için müşteri ortamlarını aktif olarak araştırıyor. 7/24 olay müdahale ekibimiz, saldırıya uğradığına inanan kuruluşlara destek veriyor.
Tüm bu çabalar, bu önemli tehditlere karşı nasıl korunacağımıza dair daha fazla bilgi toplamamıza yardımcı olacak.”
Mat Gangwer, Sophos Yönetilen Tehdit İstihbaratı Kıdemli Direktörü