Microsoft Exchange, siber saldırganların sistemlere rastgele kodlar yerleştirerek veya hassas bilgileri ifşa ederek zarar verebileceği dört sıfır gün güvenlik açığı ile gündemde. Trend Micro’nun Zero Day Initiative (ZDI) tarafından ortaya çıkarılan bu açıklar, 7 ve 8 Eylül 2023 tarihlerinde Microsoft’a bildirildi.
Microsoft, bu güvenlik açıklarını doğrulamasına rağmen, güvenlik mühendisleri açıkları yeterince ciddi bulmadığı için hemen müdahale etmeyi gerektirecek düzeyde görmedi ve çözümleri erteledi. Fakat ZDI, Microsoft’un bu tepkisine katılmadı ve Exchange yöneticilerini güvenlik riskleri konusunda uyarmak için açıkları kendi takip numaraları ile yayınlama kararı aldı.
İşte güvenlik açıklarının özeti:
- ZDI-23-1578: ‘ChainedSerializationBinder’ sınıfındaki uzaktan kod yürütme (RCE) açığı, kullanıcı verilerinin yeterince doğrulanmamasından kaynaklanıyor. Başarılı bir saldırı, saldırgana Windows’ta en yüksek ayrıcalık seviyesi olan ‘SYSTEM’ olarak rastgele kod yürütme imkanı tanıyor.
- ZDI-23-1579: ‘DownloadDataFromUri’ metodundaki bu açık, kaynak erişimi öncesinde URI’nin yetersiz doğrulanmasından ileri geliyor. Saldırganlar bunu kullanarak Exchange sunucularından hassas bilgileri ele geçirebilir.
- ZDI-23-1580 ve ZDI-23-1581: ‘DownloadDataFromOfficeMarketPlace’ ve ‘CreateAttachmentFromUri’ metodlarında bulunan bu açıklar, benzer şekilde yetersiz URI doğrulaması sonucu hassas verilerin ifşa riskini taşıyor.
Bu güvenlik açıklarının tümü istismar için kimlik doğrulaması gerektiriyor, bu da CVSS derecelendirme skalasında ciddiyetlerini 7.1 ile 7.5 arasına düşürüyor. Ancak, kimlik doğrulaması gerekliliği, Microsoft’un bu açıkları önceliklendirmemesinin muhtemel bir nedeni.
Yine de, siber suçluların Exchange kimlik bilgilerini ele geçirmek için birçok yolu var. Zayıf şifreleri kırmak, kimlik avı saldırıları yapmak, bunları satın almak veya bilgi hırsızlığı loglarından elde etmek bunlardan bazıları.
Özellikle ZDI-23-1578 (RCE) gibi, sistemin tamamen ele geçirilmesine yol açabilecek sıfır gün açıkları hafife alınmamalıdır.
ZDI, geçerli tek hafifletme stratejisinin Exchange uygulamalarıyla etkileşimi sınırlamak olduğunu belirtiyor. Ancak, bu, ürünü kullanan birçok işletme ve organizasyon için kabul edilemez derecede kesintiye yol açabilir.
ZDI, “Hesap kimlik bilgileri tehlikeye girdiğinde bile siber suçluların Exchange örneklerine erişmesini engellemek için çok faktörlü kimlik doğrulaması uygulanmasını öneriyoruz” açıklamasında bulundu.
Kaynak: BleepingComputer