Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Saldırılarda aktif olarak kullanılan yeni Microsoft Exchange sıfırıncı gün


Microsoft değişimi

Tehdit aktörleri, saldırıları ilk fark eden ve bildiren Vietnamlı siber güvenlik ekibi GTSC’deki güvenlik araştırmacılarının iddialarına göre, uzaktan kod yürütülmesine izin veren henüz açıklanmayan Microsoft Exchange sıfır gün hatalarından yararlanıyor.

Saldırganlar, Çin Chopper web kabuklarını kalıcılık ve veri hırsızlığı için güvenliği ihlal edilmiş sunuculara dağıtmak ve ayrıca kurbanların ağlarındaki diğer sistemlere yanal olarak geçmek için sıfır gün çiftini zincirliyor.

Araştırmacılar, “Güvenlik açığı o kadar kritik ki, saldırganın güvenliği ihlal edilmiş sistemde RCE yapmasına izin veriyor” söz konusu.

GTSC, basitleştirilmiş Çince için bir Microsoft karakter kodlaması olan web kabuklarının kod sayfasına dayanan saldırılardan bir Çinli tehdit grubunun sorumlu olduğundan şüpheleniyor.

Web kabuklarını yüklemek için kullanılan kullanıcı aracısı ayrıca, web kabuğu yönetimi desteğine sahip, Çin merkezli bir açık kaynaklı web sitesi yönetici aracı olan Antsword’a aittir.

Microsoft, şu ana kadar iki güvenlik açığıyla ilgili herhangi bir bilgi açıklamadı ve bunları izlemek için henüz bir CVE kimliği atamadı.

Araştırmacılar, güvenlik açıklarını üç hafta önce Microsoft’a özel olarak bildirdiler. Sıfır Gün Girişimionları takip eden ZDI-CAN-18333 ve ZDI-CAN-18802 analistleri sorunları doğruladıktan sonra.

“GTSC, bir yamanın en kısa sürede hazırlanabilmesi için Microsoft ile çalışmak üzere hemen Zero Day Initiative’e (ZDI) güvenlik açığını gönderdi” diye eklediler. “ZDI, CVSS puanları 8.8 ve 6.3 olan 2 hatayı doğruladı ve onayladı.”

Trend Micro, Perşembe akşamı bir güvenlik danışma belgesi yayınladı ve GTSC tarafından keşfedilen iki yeni Microsoft Exchange sıfırıncı gün güvenlik açığını Microsoft’a sunduklarını doğruladı.

Şirket, IPS N-Platform, NX-Platform veya TPS ürünlerine bu sıfır gün için algılamaları zaten ekledi.

GTSC, bu sıfır gün hatalarıyla ilgili çok az ayrıntı yayınladı. Yine de araştırmacıları, bu açıklardan yararlanma zincirinde kullanılan isteklerin, kullanıcıları hedef alan saldırılarda kullanılanlara benzer olduğunu ortaya çıkardı. ProxyShell güvenlik açıkları.

İstismar iki aşamada çalışır:

  1. ProxyShell güvenlik açığına benzer biçime sahip istekler: autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.
  2. RCE’nin uygulanabileceği arka uçtaki bir bileşene erişmek için yukarıdaki bağlantının kullanılması.

Araştırmacılar, “Bu Exchange sunucularının sürüm numarası, en son güncellemenin zaten kurulu olduğunu gösterdi, bu nedenle Proxyshell güvenlik açığını kullanarak bir istismarın imkansız olduğunu” söyledi.

Geçici azaltma mevcut

Microsoft, iki sıfır günü ele almak için güvenlik güncellemeleri yayınlayana kadar, GTSC paylaştı geçici hafifletme URL Yeniden Yazma Kuralı modülünü kullanarak yeni bir IIS sunucu kuralı ekleyerek saldırı girişimlerini engeller:

  1. FrontEnd’de Otomatik Bulma’da, URL Yeniden Yazma sekmesini ve ardından İstek Engelleme’yi seçin.
  2. dize ekle “.*autodiscover\.json.*\@.*Powershell.*“ URL Yoluna.
  3. Koşul girişi: {REQUEST_URI} öğesini seçin

GTSC, “Dünya çapında Microsoft Exchange Server kullanan tüm kuruluşların/işletmelerin, olası ciddi zararlardan kaçınmak için yukarıdaki geçici çözümü mümkün olan en kısa sürede kontrol etmelerini, incelemelerini ve uygulamalarını tavsiye ediyoruz.” dedi.

Bu istismar kullanılarak Exchange sunucularının güvenliği ihlal edilip edilmediğini kontrol etmek isteyen yöneticiler, güvenlik ihlali göstergeleri için IIS günlük dosyalarını taramak için aşağıdaki PowerShell komutunu çalıştırabilir:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

Microsoft ve ZDI sözcüleri, bugün erken saatlerde BleepingComputer ile iletişime geçtiğinde yorum yapmak için hemen müsait değildi.

Bu gelişmekte olan bir hikaye.

Güncelleme 29/09/22 19:02 EST: Trend Micro’nun iki sıfır günle ilgili tavsiyesi hakkında bilgi eklendi.



İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.