1) Exchange kullanıyorsanız:
Exchange client uygulamalarını kolay ayarlamak için kullanılan
Autodiscover özelliğinin kullanıcı bilgilerini çalmak için
kullanılabileceği ortaya çıktı. Konuyla ilgili olarak ayrıntılı blog
yazısına https://www.guardicore.com/labs/autodiscovering-the-great-leak/ adresinden ulaşabilirsiniz.
“Yazı çok uzun okuyacak vaktim yok” diyorsanız, aşağıdaki tedbirleri alabilirsiniz;
- Kötü amaçlı kullanılabilecek autodiscover alanadlarını firewall üzerinden engelleyin. Listeye https://github.com/guardicore/labs_campaigns/blob/master/Autodiscover/autodiscover-tlds.txt adresinden ulaşabilirsiniz.
- Exchange kurulumunuzda “basic authentication” ile bağlanmaya izin verilmediğinden emin olun.
- Exchange ile entegre bir uygulama geliştiriyorsanız autodiscover alanadının otomatik olarak oluşturulmadığından emin olun.
2) Türkiye’yi hedef alan oltalama saldırıları
https://www.cyjax.com/2021/09/16/emea-and-apac-governments-targeted-in-widespread-credential-harvesting-campaign/ adresinde görebileceğiniz araştırmaya göre, aralarında Türkiye’nin de bulunduğu çok sayıda ülkenin kamu kurumlarını hedef alan geniş ölçekli bir oltalama saldırısı tespit edilmiş.
“Yazı çok uzun okuyacak vaktim yok” diyorsanız;
- mail[.]KURUMADI[.]gov[.]tr[.]connecting-to-server[.]fail
formatında alınmış alanadları listede. Bu nedenle aşağıdaki
alanadlarına erişimi firewall üzerinden engellemekte fayda var.
- webmails[.]info
- connecting[.]fail
- gcv[.]by
- connecting-to-server[.]info
- Kuruluş dışındayken saldırıya uğramış olabileceğini düşündüğünüz kullanıcılar için parola sıfırlamakta fayda olabilir.
- Saldırının büyük ihtimalle devlet destekli olması nedeniyle, özellikle kamu kurumlarında bu konuda ayrıntılı bir tehdit avcılığı ve olay müdahalesi çalışması yapmak gerekir. Bu konuda desteğe ihtiyaç duyan bir kamu kurumu veya bu kuruluşlara destek veren bir bilişim firmasıysanız benimle iletişime geçebilirsiniz.
No comments:
Post a Comment