Microsoft’un, Exchange Server 2013, Exchange Server 2016 ve Exchange Server 2019 sunucuları için yayımladığı güncelleme çok kritik bir güvenlik açığını gideriyordu.
Bu zafiyetin aktif olarak ve geniş ölçekte istismar edildiği haberleri yağmaya başladı. Tam olmasa bile WannaCry zamanında karşılaştığımıza yakın bir durumla karşı karşıya kalabiliriz, elbette bunu zaman gösterecek.
2 gün önce Microsoft’un yayımladığı güncelleme sonrasında gelen bilgiler, bu zafiyetin ağırlıklı olarak Çin kökenli siber saldırılarda ve A.B.D. kurumlarını hedef almak için kullanıldığı yönündeydi. Ancak son dönemdeki veri akışına bakarak bu zafiyetin daha düşük seviyeli siber saldırgan grupları tarafından da kullanılmaya başlandığına dair ciddi ipuçları barındırıyor.
Acil olarak yapılması gereken:
Exchange sunucunuzu güncelleyin. Hafta sonunu beklemeyin, kullanıcıların yoğun olmadığı bir zaman dilimini beklemeyin, size destek veren firmanın planlı ziyaretini beklemeyin, derhal güncelleyin. Bu tür durumlarda sorunu ve riskleri üst yönetime anlatmak konusunda sizlere yardımcı olduğumuzu hatırlatmak isterim, uzman görüşü istenirse ücretsiz bir Zoom görüşmesi ayarlayabiliriz. Saldırılarda istismar edilen açıklar ve güncellemelerle ilgili bilgilere https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ adresinden ulaşabilirsiniz.
Herhangi bir nedenle güncelleme yapamıyorsanız, Exchange sunucusunu ağdan ayırmak ve port 443’e gelen bağlantıların sadece VPN üzerinden yapılmasını sağlamak geçici tedbirler olabilir. Söz konusu saldırının başarılı olması için, saldırganların birkaç adım atması gerekiyor ve bu adımların ilki Exchange sunucusunun port 443’üne erişim gerektiriyor. Bu portun internete açık olmaması size güncellemeyi yapacak zaman kazandırabilir.
Acil olarak kontrol edilmesi gerekenler:
A.B.D. Siber Güvenlik ve Altyapı Güvenliği Kurumunun konuyla ilgili yayımladığı uyarıda, bu zafiyeti istismar etmeye çalışanların sunucuya gönderdikleri istekler belirtilmiş. Kuruluşunuza gelen bağlantı loglarında bunları görüyorsanız sisteminizdeki zafiyet istismar edilmiş ve birileri ağınıza sızmış olabilir. Bu durumda tehdit avcılığı ve olay müdahale süreçlerinin devreye alınıp, saldırının gerçek boyutlarının ortaya çıkartılması gerekiyor. Kontrol edilmesi gerekenleri https://us-cert.cisa.gov/ncas/alerts/aa21-062a adresinde “Tactics, Techniques and Procedures” başlığı altında bulabilirsiniz.
