Microsoft, iki yeni Exchange sıfır gün hatasının etkin saldırı altında olduğunu, ancak hemen düzeltilmediğini söylüyor • TechCrunch

Microsoft, gerçek dünya saldırılarında siber suçlular tarafından iki yama uygulanmamış Exchange Server sıfırıncı gün güvenlik açığından yararlanıldığını doğruladı.

Vietnamlı siber güvenlik şirketi GTSC, ilk keşfedilen Ağustos 2022’de bir müşterinin siber güvenlik olayına verdiği yanıtın kusurları, iki sıfır gününün, 2022 Ağustos ayının başlarına kadar müşterilerinin ortamlarına yönelik saldırılarda kullanıldığını söyledi.

Microsoft’un Güvenlik Yanıt Merkezi (MRSC) bir blog yazısında söyledi Perşembe günü geç saatlerde, iki güvenlik açığı sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı CVE-2022-41040 olarak tanımlanırken, CVE-2022-41082 olarak tanımlanan ikinci güvenlik açığı, PowerShell açıkken güvenlik açığı bulunan bir sunucuda uzaktan kod yürütülmesine izin verir. saldırgan tarafından erişilebilir.

Teknoloji devi, “Şu anda Microsoft, kullanıcıların sistemlerine girmek için iki güvenlik açığını kullanan sınırlı hedefli saldırıların farkında” dedi.

Microsoft, bir saldırganın güvenlik açığına kimliği doğrulanmış erişime ihtiyacı olacağını belirtti. Exchange Sunucusuşirket içi Microsoft Exchange Server 2013, 2016 ve 2019’u etkileyen iki güvenlik açığından birini başarıyla kullanmak için çalınan kimlik bilgileri gibi.

Microsoft, saldırılarla ilgili daha fazla ayrıntı paylaşmadı ve sorularımızı yanıtlamayı reddetti. Güvenlik firması Trend Micro, 10 üzerinden 8,8 ve 6,3 olmak üzere iki güvenlik açığı önem derecesi verdi.

Ancak GTSC, siber suçluların kurbanın sisteminde arka kapılar oluşturmak için iki güvenlik açığını zincirlediğini ve ayrıca güvenliği ihlal edilmiş ağda yanlamasına hareket ettiğini bildiriyor. GTSC, “İstismarda başarılı bir şekilde ustalaştıktan sonra, bilgi toplamak ve kurbanın sisteminde bir dayanak oluşturmak için saldırılar kaydettik” dedi.

GTSC, web kabuğu kod sayfası basitleştirilmiş Çince için karakter kodlaması kullandığından, devam eden saldırılardan bir Çinli tehdit grubunun sorumlu olabileceğinden şüphelendiğini söyledi. Saldırganlar ayrıca Çin devlet destekli bilgisayar korsanlığı grupları tarafından yaygın olarak kullanılan bir arka kapı olan kalıcı uzaktan erişim saldırılarında China Chopper web kabuğunu da kullandılar.

GTSC’nin bulgularını bir dizi makalede tartışan ilk kişilerden biri olan güvenlik araştırmacısı Kevin Beaumont tweetler Perşembe günü, güvenlik açığının “vahşi doğada aktif olarak istismar edildiğinin” farkında olduğunu ve “önemli sayıda Exchange sunucusunun arka kapıya kapatıldığını doğrulayabileceğini” söyledi.

Microsoft, yamaların ne zaman kullanıma sunulacağını söylemeyi reddetti, ancak blog gönderisinde, yaklaşan düzeltmenin “hızlandırılmış bir zaman çizelgesinde” olduğunu belirtti.

O zamana kadar şirket, müşterilerin IIS Yöneticisi’ne bir engelleme kuralı eklemeyi içeren GTSC tarafından paylaşılan geçici azaltma önlemlerini izlemesini tavsiye ediyor. Şirket, sıfır günlerin yalnızca şirket içi Exchange sunucularını etkilediği için Exchange Online Müşterilerinin şu anda herhangi bir işlem yapmasına gerek olmadığını belirtti.