Microsoft Exchange sunucuları LockFile fidye yazılımı tarafından saldırıya uğradı. LockFile olarak bilinen yeni bir fidye yazılımı ekibi, yakın zamanda açıklanan ProxyShell güvenlik açıklarını kullanarak Microsoft Exchange sunucularını hackledikten sonra Windows etki alanlarını şifreliyor. ProxyShell, kimliği doğrulanmamış, uzaktan kod yürütülmesine neden olan üç adet Microsoft Exchange güvenlik açığından oluşan zincirleme bir saldırının adıdır.
Üç güvenlik açığı, Nisan ayındaki Pwn2Own 2021 bilgisayar korsanlığı yarışmasında bir Microsoft Exchange sunucusunu devralmak için birbirine zincirleyen Devcore Güvenlik Araştırmacısı Orange Tsai tarafından keşfedilmişti.
– CVE-2021-34473 – Kimlik Doğrulama Öncesi Yol Karışıklığı, ACL Atlamasına neden oluyor (Yaması Nisan ayında KB5001779 tarafından yayınlanmıştır)
– CVE-2021-34523 – Exchange PowerShell Ayrıcalığın Yükseltilmesi (KB5001779 tarafından Nisan ayında Yama yayınlanmıştır)
– CVE-2021-31207 – Yetkilendirme Sonrası Rastgele Dosya Yazma, RCE’ye yol açar (KB5003435 tarafından Mayıs ayında Yaması yayınlanmıştır)
LockFile işlemi hem Microsoft Exchange ProxyShell güvenlik açıklarını hem de Windows PetitPotam NTLM Relay güvenlik açığını kullandığından, Windows yöneticilerinin en son güncellemeleri yüklemesi zorunludur.
ProxyShell güvenlik açıkları için, güvenlik açıklarını düzeltmek için en son Microsoft Exchange toplu güncelleştirmelerini yükleyebilirsiniz. PetitPotam saldırısını yamalamak için, bu NTLM geçiş saldırı vektörünü engellemek için 0patch’ten resmi olmayan bir yama kullanabilir veya MS-EFSRPC API’sindeki savunmasız işlevlere erişimi engelleyen NETSH RPC filtreleri uygulayabilirsiniz.
Beaumont, Microsoft Exchange sunucunuzun ProxyShell güvenlik açığı için taranıp taranmadığını kontrol etmek için aşağıdaki Azure Sentinel sorgularını gerçekleştirebileceğinizi belirtiyor.
Kaynak: bleepingcomputer.com