Microsoft Exchange Sunucularındaki güvenlik açıklarını hedefleyen ve Kaspersky eserleri tarafınca engellenen açıklardan yararlanan akınların sayısı, Ağustos ayında 170 artarak 7 bin 342’den 19 bin 839’a yükseldi. Türkiye’de ise bu oran 292. Kaspersky uzmanlarına bakılırsa bu şaşırtan büyüme, eserde daha evvel açıklanan güvenlik açıklarından yararlanmaya çalışan saldırganların sayısının artması, kullanıcıların savunmasız yazılımlara yama yapmayı ihmal etmesi ve bu biçimdece potansiyel atak yüzeyini genişletmesiyle irtibatlı.
Microsoft Exchange Server ortasındaki güvenlik açıkları bu yıl büyük kaosa niye oldu. 2 Mart 2021’de toplum Microsoft Exchange Server ortasındaki sıfırıncı gün güvenlik açıklarının ‘yabani’ istismarlarını öğrendi ve bunlar sonrasındasında dünya çapındaki kuruluşlara yönelik bir akın dalgasında kullanıldı. Yılın ilerleyen vakit içinderında Microsoft, CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 olarak kodladığı bir dizi ProxyShell güvenlik açığını da düzeltti. Bu güvenlik açıkları birlikte kritik bir tehdidi temsil ediyor ve atak aktörünün kimlik doğrulamasını atlayarak ayrıcalıklı bir kullanıcı olarak istediği kodu yürütmesine imkan tanıyor. Kelam konusu güvenlik açıklarına yönelik yamalar bir süre evvel yayınlanmış olsa da, siber hatalılar son altı ayda 74 bin 274 Kaspersky kullanıcısını MS Exchange güvenlik açıklarına dair yoklamaktan çekinmedi.
Dahası, ABD’deki Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) 21 Ağustos’ta uyardığı üzere ProxyShell güvenlik açıkları son periyottaki bir akın dalgasında siber hatalılar tarafınca faal olarak kullanılıyor. 26 Ağustos’ta yayınlanan evrakta Microsoft, Exchange sunucularının en azından Mayıs Güvenlik Güncelleştirmesine (SU) sahip bir Toplu Aktüelleştirme (CU) çalıştırmaması durumunda güvenlik açığından etkilendiğini deklare etti.
Kaspersky telemetrisine nazaran, yazın son haftasında ProxyShell açıkları kullanılarak günlük 1.700’den çok kullanıcı taarruza uğradı. Bu, Ağustos 2021’de akına uğrayan kullanıcı sayısının Temmuz 2021’e kıyasla 170 oranında artmasına niye oldu.
Kaspersky Güvenlik Araştırmacısı Evgeny Lopatin, şunları söylemiş oldu: “Bu güvenlik açıklarından faal olarak yararlanılması şaşırtan değil. Birçok vakit 1 günlük güvenlik açıkları, yani daha evvel açıklanmış fakat geliştiriciler tarafınca yamaları yayınlanmış olanlar daha geniş bir kesim tarafınca bilindiği için daha büyük bir tehdidi temsil ediyor. Bu ele geçirebilecekleri rastgele bir ağa girme konusunda bahtlarını deneyen siber hatalılara fırsat veriyor. Faal taarruzların büyümesi, ağların güvenliğinin ihlal edilmesini önlemek için güvenlik açıklarını mümkün olan en kısa müddette düzeltmenin niye bu kadar kıymetli olduğunu bir defa daha gösteriyor. Riskleri azaltmak için Microsoft’un son tavsiyelerini dinlemenizi şiddetle tavsiye ediyoruz.”
Kaspersky eserleri, Behavior Detection ve Exploit Prevention bileşenleriyle ProxyShell güvenlik açıklarını berbata kullanan istismarlara karşı müdafaa sağlıyor ve aşağıdaki isimler altında istismarı tespit ediyor:
Microsoft Exchange Server ortasındaki güvenlik açıkları bu yıl büyük kaosa niye oldu. 2 Mart 2021’de toplum Microsoft Exchange Server ortasındaki sıfırıncı gün güvenlik açıklarının ‘yabani’ istismarlarını öğrendi ve bunlar sonrasındasında dünya çapındaki kuruluşlara yönelik bir akın dalgasında kullanıldı. Yılın ilerleyen vakit içinderında Microsoft, CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 olarak kodladığı bir dizi ProxyShell güvenlik açığını da düzeltti. Bu güvenlik açıkları birlikte kritik bir tehdidi temsil ediyor ve atak aktörünün kimlik doğrulamasını atlayarak ayrıcalıklı bir kullanıcı olarak istediği kodu yürütmesine imkan tanıyor. Kelam konusu güvenlik açıklarına yönelik yamalar bir süre evvel yayınlanmış olsa da, siber hatalılar son altı ayda 74 bin 274 Kaspersky kullanıcısını MS Exchange güvenlik açıklarına dair yoklamaktan çekinmedi.
Dahası, ABD’deki Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) 21 Ağustos’ta uyardığı üzere ProxyShell güvenlik açıkları son periyottaki bir akın dalgasında siber hatalılar tarafınca faal olarak kullanılıyor. 26 Ağustos’ta yayınlanan evrakta Microsoft, Exchange sunucularının en azından Mayıs Güvenlik Güncelleştirmesine (SU) sahip bir Toplu Aktüelleştirme (CU) çalıştırmaması durumunda güvenlik açığından etkilendiğini deklare etti.
Kaspersky telemetrisine nazaran, yazın son haftasında ProxyShell açıkları kullanılarak günlük 1.700’den çok kullanıcı taarruza uğradı. Bu, Ağustos 2021’de akına uğrayan kullanıcı sayısının Temmuz 2021’e kıyasla 170 oranında artmasına niye oldu.
Kaspersky Güvenlik Araştırmacısı Evgeny Lopatin, şunları söylemiş oldu: “Bu güvenlik açıklarından faal olarak yararlanılması şaşırtan değil. Birçok vakit 1 günlük güvenlik açıkları, yani daha evvel açıklanmış fakat geliştiriciler tarafınca yamaları yayınlanmış olanlar daha geniş bir kesim tarafınca bilindiği için daha büyük bir tehdidi temsil ediyor. Bu ele geçirebilecekleri rastgele bir ağa girme konusunda bahtlarını deneyen siber hatalılara fırsat veriyor. Faal taarruzların büyümesi, ağların güvenliğinin ihlal edilmesini önlemek için güvenlik açıklarını mümkün olan en kısa müddette düzeltmenin niye bu kadar kıymetli olduğunu bir defa daha gösteriyor. Riskleri azaltmak için Microsoft’un son tavsiyelerini dinlemenizi şiddetle tavsiye ediyoruz.”
Kaspersky eserleri, Behavior Detection ve Exploit Prevention bileşenleriyle ProxyShell güvenlik açıklarını berbata kullanan istismarlara karşı müdafaa sağlıyor ve aşağıdaki isimler altında istismarı tespit ediyor:
- PDM:Exploit.Win32.Generic
- HEUR:Exploit.Win32.ProxyShell.*
- HEUR:Exploit.*.CVE-2021-26855.*
- Exchange Server’ı mümkün olan en kısa müddette güncelleyin.
- Savunma stratejinizi yanal hareketleri ve internete bilgi sızmasını tespit etmeye odaklayın. Siber hata irtibatlarını tespit etmek için giden trafiğe bilhassa dikkat edin. Dataları nizamlı olarak yedekleyin. Acil bir durumda yedeklere süratlice erişebildiğinizden emin olun
- Saldırganlar gayelerine ulaşmadan evvel bir saldırıyı erken kademelerde belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response üzere hizmetleri kullanın.
- Kaspersky Endpoint Security for Business üzere berbata kullanması önleyen, davranış algılama yapabilen ve makûs hedefli hareketleri geri alabilen bir düzeltme motoruyla desteklenmiş muteber uç nokta güvenlik tahlilinden yardım alın. KESB ayrıyeten siber hatalılar tarafınca kaldırılmasını engelleyebilecek savunma düzeneklerine da sahiptir.