Bir analizde Bitdefender, şirket içi Microsoft Exchange kurulumlarını hedef alan bir dizi ProxyNotShell/OWASSRF saldırısı konusunda uyarıda bulunuyor. Saldırı genellikle sunucuyu ele geçirmekle bile sonuçlanır. Bitdefender'ın teknik kılavuzu yardım sunar.
2022 Kasım ayının sonundan itibaren özellikle ABD'de gözlemlenen saldırılar farklı amaçlara hizmet etti. Sunucu Tarafı İstek Sahtekarlığı (SSRF) saldırıları, başka bir sunucudaki savunmasız bir sunucu aracılığıyla fırsatçı saldırılara olanak tanır ve örneğin bir Microsoft Exchange sunucusunun tamamen ele geçirilmesine yol açabilir. Bu tür üst düzey mimarilerdeki güvenlik açıkları nadiren bulunur. Varsa, üretken sistemlerde kapatılması zordur. Bu, her şeyden önce, Microsoft Exchange gibi geriye dönük uyumluluğun önemli bir rol oynadığı yaygın yazılımlar için geçerlidir.
Akıllı sunucu devralma saldırıları
🔎 SSRF saldırılarına karşı Microsoft Exchange CAS güvenlik açığı (Resim: Bitdefender).
SSRF saldırıları, sabit kodlanmış güvenliği olmayan Sunucu Yönelimli Mimari (SOA) ile programlanan arka uç hizmetlerine saldırmanın yaygın bir yoludur. Ön uç proxy'leri, bunların korunmasından sorumludur. Saldırılardan birinde siber suçlular, Microsoft Exchange 2019 posta kutusu sunucusunda proxy koruması olarak İstemci Erişim Hizmetlerine (CAS) saldırdı. Bilgisayar korsanları, savunmasız bir sistem aracılığıyla bir istek gönderir, CAS proxy'si saldırganların isteğini doğrular ve saldırganlara arka uç hizmetlerine SİSTEM erişimi verir (resme bakın).
Microsoft Exchange, geriye dönük uyumluluk nedeniyle değiştirilmesi zor olan bir dizi ön uç ve arka uç hizmetine bağlı olduğundan, bu tür saldırılar için ideal bir hedeftir. Arka uç hizmetleri, ön uç CAS katmanından gelen bir talebe güvenir. SYSTEM hesabı üzerinden çeşitli arka uç hedefleri yürütülür. Remote PowerShell (RPS), birçok Power Shell komutu sunar.
Önce sunucu, ardından kendi uzak araçlarınız
Bilgisayar korsanları bu kadar değerli bir hedefe çeşitli amaçlarla saldırır: Örneğin, uzaktan erişim için araçlar yüklemek isterler. Web kabuğu programları aracılığıyla güvenliği ihlal edilmiş sistemde kalıcı bir varlık, çeşitli eylemleri etkinleştirmelidir. Bilgisayar korsanları, muhtemelen fidye yazılımı yüklemeyi amaçlayan PowerShell komutlarını yürütmek için ProxyNotShell adlı saldırıyı kullanır. Erişim verilerinin başka bir varyantta yakalanması da fidye yazılımı saldırılarını başlatmak için kullanılır.
Bu tür saldırılara karşı savunma, önleme, tespit ve azaltma yeteneklerine sahip katmanlı bir siber savunma gerektirir. Bu, yalnızca Windows ile sınırlı olmayıp, İnternet erişimi olan tüm uygulama ve hizmetlerle sınırlı olan yama yönetimini de içerir. IP adreslerinin ve URL'lerin itibarını kontrol etmek de önemlidir. Savunma çözümleri ayrıca dosyasız saldırıları da tespit edebilmelidir.
Bitdefender.com'da daha fazlası
Bitdefender Hakkında Bitdefender, 500'den fazla ülkede 150 milyondan fazla sistemi koruyan siber güvenlik çözümleri ve antivirüs yazılımında dünya lideridir. 2001 yılında kuruluşundan bu yana şirketin yenilikleri düzenli olarak mükemmel güvenlik ürünleri ve özel müşteriler ve şirketler için cihazlar, ağlar ve bulut hizmetleri için akıllı koruma sağladı. Tercih edilen tedarikçi olarak Bitdefender teknolojisi, dünyanın dağıtılan güvenlik çözümlerinin yüzde 38'inde bulunur ve hem endüstri profesyonelleri, üreticiler hem de tüketiciler tarafından güvenilmekte ve tanınmaktadır. www.bitdefender.de