Geçen hafta Microsoft , yaygın olarak kullanılan e-posta ve takvimleme ürünü Exchange ‘in şirket içi sürümünün daha önce açıklanmamış birkaç güvenlik açığına sahip olduğunu duyurdu . Şirket, bu kusurların yabancı tehdit aktörleri tarafından ABD’deki işletmelerin ve hükümetlerin ağlarına sızmak için, öncelikle büyük miktarda e-posta verilerini çalmak için kullanıldığını söyledi. O zamandan beri herkesin aklındaki büyük soru şu oldu: Bu ne kadar kötü?
Kısa cevap: Oldukça kötü
Şimdiye kadar, ” çılgın devasa “, ” astronomik ” ve ” alışılmadık derecede agresif ” gibi hack tanımlayıcıları tam anlamıyla para üzerinde görünüyor. Exchange güvenlik açıklarının bir sonucu olarak, on binlerce ABD merkezli kuruluşun sistemlerine kötü niyetli arka kapıların yerleştirilmiş olması muhtemeldir. Microsoft soruşturmasına yakın anonim kaynaklar, basın kuruluşlarına defalarca , güvenlik açıkları nedeniyle yaklaşık 30.000 Amerikan kuruluşunun tehlikeye atıldığını söylediler (doğruysa, bu rakamlar resmi olarak SolarWind’leri cüce anlamına gelir ve bu da yurtiçinde yaklaşık 18.000 kuruluşun ve dokuz kuruluşun uzlaşmasına yol açar. Beyaz Saray’a göre federal kurumlar). Dünya çapında güvenliği ihlal edilen kuruluşların sayısı çok daha fazla olabilir. Bir kaynakgeçenlerde Bloomberg’e “dünya çapında bilinen en az 60.000 kurban” olduğunu söyledi
Daha da sorunlu bir şekilde, bazı araştırmacılar, Exchange güvenlik açıklarının kamuya açıklanmasından bu yana, ürüne yönelik saldırıların yalnızca hızlandığının görüldüğünü söylediler. Kaspersky’de bir tehdit araştırma uzmanı olan Anton Ivanov, bir e-postada, ekibinin geçen hafta içinde bir faaliyette artış gördüğünü söyledi.
Ivanov, “Başından beri, bu güvenlik açıklarından yararlanma girişimlerinin hızla artacağını tahmin ediyorduk ve şu anda tam olarak gördüğümüz şey bu – şimdiye kadar, esasen dünyanın her yerinde yüzden fazla ülkede bu tür saldırıları tespit ettik,” dedi. Gizmodo. “İlk saldırılar hedef alınmış olsa da, oyuncuların esasen savunmasız bir sunucu çalıştıran herhangi bir kuruluşa saldırarak şanslarını denememeleri için bir neden yok. Bu saldırılar, yüksek veri hırsızlığı riskiyle ve hatta fidye yazılımı saldırılarıyla ilişkilidir ve bu nedenle kuruluşların mümkün olan en kısa sürede koruyucu önlemler alması gerekir. “
Saldırılar Nasıl Oluyor?
Microsoft Exchange Server, hangi sistemlerin risk altında olduğu konusunda kafa karışıklığına yol açan iki formatta gelir: şirket içi bir ürün ve hizmet olarak bir yazılım bulut ürünü vardır. Bulut ürünü Exchange Online’ın güvenlik açıklarından etkilenmediği söyleniyor. Daha önce belirtildiği gibi, sömürülen şirket içi ürünlerdir. Diğer Microsoft e-posta ürünlerinin savunmasız olduğu düşünülmemektedir. As CISA söyledi , “ne açıkları ne de istismar tespit faaliyeti şu Microsoft 365 veya Azure Bulut dağıtımlarını etkilediği bilinmektedir.”
Şirket içi Exchange Sunucularında aktif olarak yararlanılan dört güvenlik açığı vardır (bkz: burada , burada , burada ve burada ). Güvenlikle ilişkili üç güvenlik açığı daha var, ancak yetkililer bunların henüz bunların aktif olarak kullanılmadığını söylüyorlar (bakınız: burada , burada ve burada .) Bununla birlikte, daha ayrıntılı olarak inceleyeceğimiz gibi yamalar Microsoft’un web sitesinde bulunabilir . daha sonra, doğru dağıtımla ilgili bazı sorunlar yaşandı.
Şimdiye kadar Microsoft, Exchange’e izinsiz girişler için öncelikle “HAFNIUM” adlı bir tehdit aktörünü suçladı. HAFNIUM’un, sistemlere arka kapı görevi görebilen kötü amaçlı komut dosyaları olan web kabuklarını dağıtmak için güvenlik açıklarından yararlanma yöntemi olan devlet destekli bir grup olduğu söyleniyor. Bu web kabukları, bilgisayar korsanlarının sunuculara uzaktan erişim sağlamasına ve ardından gelen kutularının tamamı dahil olmak üzere büyük e-posta verisi dilimlerini dışarı sızmasına olanak tanır. HAFNIUM’un amacı istihbarat toplamak gibi görünebilir. Grubun Çin merkezli olduğuna inanılıyor olsa da, Çin hükümeti herhangi bir sorumluluk kabul etmedi.
Bununla birlikte, güvenlik araştırmacıları, diğer tehdit aktörlerinin de güvenlik açıklarından yararlanılmasında yer aldığının neredeyse kesin olduğunu söylüyor. Red Canary güvenlik firması hafta sonu, Exchange sunucularını hedefleyen birden çok etkinlik kümesi gözlemlediklerini ve kuruluşların HAFNIUM tarafından hedeflendiklerini varsaymamaları gerektiğini, başka biri olabileceğini bildirdi. Red Canary araştırmacısı Katie Nickels Cumartesi günü , “Görünürlüğümüze ve Microsoft, FireEye ve diğerlerinden araştırmacıların görüşlerine dayanarak, güvenlik açıklarından yararlandığı görülen en az 5 farklı etkinlik kümesi var” dedi .
Kim Vuruluyor
Exchange’in yaygın kullanımı nedeniyle, birçok farklı varlık türü risk altındadır. Avrupa Bankacılık Otoritesi de dahil olmak üzere bazı büyük kuruluşlar ihlallerini çoktan duyurdular. ABD hükümetinin etkilenip etkilenmediğine dair henüz bir bilgi yok, ancak Pentagon da dahil olmak üzere çok sayıda kuruluş şu anda kendi ağlarından uzlaşılıp etkilenmediklerini araştırmak için çalışıyorlar.
Güvenlik araştırmacıları, özellikle şehir ve ilçe hükümetleri ve küçük ve orta ölçekli işletmeler olmak üzere daha küçük ölçekli kuruluşlar için daha fazla risk altında olduklarını söyledikleri özel endişelerini dile getirdiler . Kuzey Dakota’da eyalet hükümeti kısa süre önce HAFNIUM tarafından hedef alındığını ve Çinli bilgisayar korsanlarının verileri çalıp çalmadığını araştırdığını itiraf etti.
Güvenlik firması Cybereason’un CEO’su Lior Div, küçük işletmelerin özellikle kampanyalardan ödün verme riski altında olduğunu söyledi. Div, saldırıların istilacı olmaktan çok daha yıkıcı olması durumunda bu saldırının yerel ekonomiler üzerindeki potansiyel etkisinin altını çizdi:
Div, “Microsoft Exchange’e yönelik en yeni saldırı, [SolarWinds’tan] 1.000 kat daha yıkıcıdır çünkü Çinli saldırganlar, ABD ekonomisinin can damarı ve küresel ekonominin itici gücü olan KOBİ’leri [küçük ve orta ölçekli işletmeleri] hedeflediler,” dedi. bir e-posta. “KOBİ’ler, dünya çapında kapanan milyonlarca işletme ile COVID-19 salgınından en çok etkilenenlerdi. Ve yıkıcı bir yılın ardından tam da köşeyi dönmeye başladığımızda, KOBİ’lere yönelik bu saldırı başlıyor. Bu saldırı potansiyel olarak daha da zarar verici çünkü KOBİ’ler tipik olarak yerinde bir güvenlik duruşuna sahip değiller ve tehdit aktörlerinin zayıfları avlamasına ve bu şekilde güçlü gelir akışlarını yönlendirmesine izin veriyor.
Ne Yapılıyor
Beyaz Saray Pazar günü geç saatlerde saldırının kapsamını araştırmak için bir görev gücü oluşturacağını duyurdu . Bununla birlikte, Biden yönetiminin SolarWinds hack’ine zaten bir yanıt vermesi gerçeğiyle (Beyaz Saray şu anda saldırılarda iddia edilen rolü nedeniyle Rusya’ya gizli siber operasyonlar ve yaptırımlar düşünüyor) nedeniyle yavaşlayabilir.
Yukarıda belirtildiği gibi, Microsoft güvenlik açıkları için yamalar yayınladı – ancak bu yamaların bazı sorunları oldu. Perşembe günü, bir Microsoft sözcüsü, bazı durumlarda yamaların işe yarayacağını ancak güvenlik açığını aslında düzeltemeyeceğini belirtti. Bir tam break-down bu konuda Microsoft’un web sitesinde bulunabilir.
Kuruluşlar, yalnızca güvenlik açıklarını yamamakla kalmayıp aynı zamanda güvenlik açıklarının zaten ihlal edilip edilmediğini araştırmaları gerektiği konusunda uyarıldı. Microsoft buna yardımcı olacak kaynakları duyurdu. Web kabuklarının Exchange sunucularına uygulanıp uygulanmadığını belirlemeye yardımcı olabilecek Güvenlik Tarayıcısı (MSERT) aracında bir güncelleme yayınladı . MSERT, bir sistemdeki kötü amaçlı yazılımları arayan, tanımlayan ve kaldıran bir kötü amaçlı yazılımdan koruma aracıdır.
Destekleme savunmaları ve uzlaşma belirtileri için sistemleri incelemek dışında, bu noktada yapılabilecek pek çok şey olmayabilir. SolarWinds’de olduğu gibi, Amerikalılar muhtemelen sadece oturup beklemek zorunda kalacak. Hasarın ne kadar kapsamlı olduğunu anlamak kesinlikle zaman alacaktır.