Lockbit fidye yazılımı bağlı kuruluşları, yama uygulanmamış güvenlik açıklarını hedefleyen açıklardan yararlanarak saldırıya uğrayan Microsoft Exchange sunucuları aracılığıyla kurbanları şifreliyor.
Temmuz 2022’deki bu tür en az bir olayda, saldırganlar, ayrıcalıkları Active Directory yöneticisine yükseltmek, yaklaşık 1,3 TB veri çalmak ve ağ sistemlerini şifrelemek için güvenliği ihlal edilmiş bir Exchange sunucusunda önceden dağıtılmış bir web kabuğu kullandılar.
Adli analiz uzmanları soruşturmaya yardımcı olmak üzere işe alınan Güney Koreli siber güvenlik firması AhnLab tarafından açıklandığı gibi, tehdit aktörlerinin web kabuğunun yüklendiği andan itibaren AD yönetici hesabını ele geçirmeleri yalnızca bir hafta sürdü.
AhnLab, kurbanın Aralık 2021’den önceki bir uzlaşmadan sonra üç ayda bir güvenlik yamalarını dağıtmak için Microsoft’tan teknik destek aldığı göz önüne alındığında, Exchange sunucularının muhtemelen “açıklanmayan bir sıfırıncı gün güvenlik açığı” kullanılarak saldırıya uğradığını söyledi.
“Mayıs’tan sonra açıklanan güvenlik açıkları arasında, uzaktan komutlar veya dosya oluşturma ile ilgili herhangi bir güvenlik açığı bildirilmedi” AhnLab açıkladı.
“Dolayısıyla, WebShell’in 21 Temmuz’da oluşturulduğu düşünülürse, saldırganın açıklanmayan bir sıfır gün güvenlik açığı kullanması bekleniyor.”
Yeni Microsoft Exchange sıfır gün mü?
Microsoft iken şu anda güvenlik yamaları üzerinde çalışıyor adrese iki aktif olarak yararlanılan Microsoft Exchange sıfır gün CVE-2022-41040 ve CVE-2022-41082 olarak izlenen AhnLab, Temmuz ayında Exchange sunucusuna erişim sağlamak için kullanılanın saldırı taktikleri örtüşmediğinden farklı olabileceğini de sözlerine ekledi.
“Vietnamlı bir güvenlik şirketi olan GTSC tarafından 28 Eylül’de açıklanan Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082) güvenlik açıklarının kullanılmış olma ihtimali var, ancak saldırı yöntemi, oluşturulan WebShell dosya adı , ve WebShell oluşturulduktan sonraki saldırılar,” diyor AhnLab.
“Farklı bir saldırganın farklı bir sıfırıncı gün güvenlik açığı kullandığı varsayılıyor.”
Teslim yöntemindeki farklılıklar yeterli kanıt olarak kabul edilemese de, saldırganların yeni bir sıfır gün kullandığı ve güvenlik uzmanları da var. ikna olmadı bu durumda, en az bir güvenlik sağlayıcısı daha açıklanmayan üç Exchange kusurunu biliyor ve istismar girişimlerini engellemek için “aşılar” sağlıyor.
Zero Day Initiative güvenlik açığı araştırmacısı tarafından keşfedildi Piotr Bazydlo ve üç hafta önce Microsoft’a bildirildiğinde, siber güvenlik yazılımı firması Trend Micro tarafından takip ediliyorlar. ZDI-CAN-18881, ZDI-CAN-18882ve ZDI-CAN-18932 analistleri sorunları doğruladıktan sonra.
Şirket ayrıca eklenen algılama imzaları 4 Ekim 2022’den bu yana IPS N-Platform, NX-Platform veya TPS ürünlerine bu Exchange sıfır günleri (Trend Micro tarafından kritik önem derecesi olarak etiketlendi) için.
Trend Micro, Dijital Aşı destek belgesinde “Bu filtre, Microsoft Exchange’i etkileyen bir sıfırıncı gün güvenlik açığından yararlanılmasına karşı koruma sağlıyor” diyor.
Microsoft, rapor edildiklerinden bu yana bu üç güvenlik açığıyla ilgili herhangi bir bilgi açıklamadı ve henüz bunları izlemek için bir CVE kimliği atamadı.
Microsoft, BleepingComputer bugün erken saatlerde ulaştığında daha fazla bilgi isteyen bir e-postaya yanıt vermedi.