Microsoft, Exchange Saldırıları İçin Bir Vasıta Yayınladı

ABD merkezli teknoloji devi Microsoft, geçtiğimiz gün büyük bir vakayla gündeme geldi. Firmanın e-posta sunucusu Exchange’de ortaya çıkan bir hata, hackerlar tarafınca hedef alındı. Çinli Hafnium hacker grubu tarafınca meydana getirilen saldırılar, kurbanların e-postalarını ele geçirmeye odaklanıyordu.

KrebsonSecurity tarafınca aktarılanlara bakılırsa Microsoft Exchange sunucularına meydana getirilen bu saldırılardan minimum 30.000 ABD’li kurum etkilendi. Ufak işletmelerden şehirlere ve mahalli yönetime kadar birçok yeri etkileyen bu saldırının arkasından Microsoft, bugün sunucu yöneticileri için tehdidi tespit etmeleri ve azaltabilmeleri için bir araçlarını kullanıma sundu.

Microsoft, saldırılara karşı araçlarını yayınladı:

Şirket, ücretsiz bir şekilde sunmuş olduğu ve tehlikeyi belirlemek için günlük log dosyalarını taramak için kullanılabilecek ‘Indicators of Compromise‘ aracını güncelledi. Bununla beraber 2 Mart’ta gösterilen bant dışı güncelleştirmeleri uygulayamayan yöneticiler için acil durum alternatif çekince azaltma kılavuzunu da yayınladı.

Exchange yöneticilerinin sunucularını güncelleştirmeleri, saldırılara karşı büyük bir ehemmiyet taşıyor. Bundan dolayı Hafnium hacker grubu, saldırının arkasından sunucuda daha çok kontrole haiz olabilmek için arkalarında bir de web shell bıraktılar. Bu sayede site üstünden sunucuda kod çalıştırma, dosya oluşturma, silme, okuma ve daha birçok şeyi halletmeye imkân kazandılar.

Sunucuların mevcut durumuysa birazcık iç karartıcı diyebiliriz. Saldırıyı keşfeden Volexity Başkanı Steven Adair, yöneticilerin Microsoft’un güncellemelerini yayınlanır yayınlanmaz indirmiş olmalarına karşın yüksek olasılıkla halen web shell’e ev sahipliği yaptıklarını belirtti. Hemen hemen güncelleme yapmayan yöneticilereyse müesseselerinin çoktan yakalanmış olabileceğini söylemiş oldu.