Hackerlar Microsoft Exchange Sunucularını Dünya Genelinde Taramaya Başladı
Black Hat konferansında teknik ayrıntılar yayınlandıktan sonra Microsoft Exchange sunucuları ProxyShell RCE zafiyeti için Dünya genelinde taranmaya başlandı. ProxyShell aslında bir zafiyetler kompinasyonu ve Microsoft Exchange sunucularında kimlik doğrulamasını atlatan ve uzaktan kod yürütmeye izin veren güvenlik açığı olarak nitelendiriliyor.
Bu üç güvenlik açığı aşağıdaki gibidir
- CVE-2021-34473 – Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
- CVE-2021-34523 – Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)
- CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)
CVE-2021-34473 ve CVE-2021-34523 zafiyetleri Microsoft Exchange KB5001779 toplu güncelleştirmesi ile yamalandı.
Orange Tsai Perşembe günü, Microsoft Exchange İstemci Erişim Hizmeti (CAS)’İ üzerine çalışırken keşfettiği son Microsoft Exchange güvenlik açıkları hakkında Black Hat’de konuşma yaptı. Konuşmanın bir pbölümünde ProxyShell saldırı zincirinin bileşenlerinden birinin Microsoft Exchange Autodiscover servisini hedef aldığını açıkladı. Güvenlik araştırmacıları PeterJson ve JangOrange Tsai’nin konuşmasını izledikten sonra ProxyShell istismarının nasıl başarılı bir şekilde yeniden yapılabileceği hakkında teknik bilgiler sağlayan bir makale yayınladılar.
Saldırganlar, güncelleme yapılmayan Exchange sunucularını Dünya genelinde taramaya başladı
Güvenlik araştırmacısı Kevin Beaumont, kendisine ait olan Microsoft Exchange Server honeypot sunucunun Autodiscover servisinin tarandığı ile ilgili bir tweet attı.
Bu ilk girişimler başarısız olsa da, dün gece güvenlik açığıyla ilgili daha fazla ayrıntı yayınlandıktan sonra, saldırganlar taramalarını Tsai’nin slaytında açıklanan düzenlemiş yeni Autodiscover URL kullanacak şekilde değiştirdiler . Saldırganlar yeni URL ile tarama yaptıklarında zafiyeti olan Exchange sunucuları tespit edebildiler.
https://Exchange-server/autodiscover/[email protected]/mapi/nspi/?&Email=autodiscover/autodiscover.json%[email protected]
Uzmanlar “/autodiscover/autodiscover.json” veya “/mapi/nspi/” içerisindeki IIS günlüklerini kontrol etmek için Azure Sentinel kullanmalarını tavsiye ediyorlar.
W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "/mapi/nspi/"
Microsoft Exchange yöneticilerinin bu güvenlik açıklarından korunmaları için en son toplu güncelleştirmeleri yüklemeleri önemle tavsiye edilir. Ancak Tsai, şu anda internette açık olan 400.000 Microsoft Exchange sunucusunun bulunduğunu ve bu nedenle başarılı saldırılar olmasınını büyük olasılık olduğunu belirtti.
Microsoft şu an için konu ile iligili bir açıklama yapmış değil.
Kaynak: bleepingcomputer.com