Microsoft déclare que les pirates informatiques chinois sont responsables des attaques Exchange

Microsoft, Çinli Hackerların Exchange Saldırılarından Sorumlu Olduğunu Söyledi

⌛ Reading Time: 2 minutes

Microsoft Salı günü müşterileri için bir uyarı yaptı ve cesurca kötü oyuncuları çağırıyor. Microsoft’a göre, Çinli bilgisayar korsanları Exchange saldırılarının arkasında. Şirket, Amerikan işletmelerinin e-posta ürünündeki bir kusurun istismarları tarafından hedef alındığını iddia ediyor.

Çinli Saldırganlar Microsoft Exchange’i Sömürdü

Microsoft dikkat çekti yakın zamanda keşfedilen dört sıfır gün güvenlik açığı. Şirket, Exchange saldırılarını yamalara ve bir uzlaşma göstergeleri listesine bağladı.

Şirketteki araştırmacılar, bilgisayar korsanlığı grubunu “HAFNIUM” olarak etiketledi. Grubun, veri hırsızlığı yoluyla casusluğa odaklanan “çok yetenekli ve sofistike bir aktör” olduğunu açıkladılar. Araştırmacılara göre, HAFNIUM’un “bulaşıcı hastalık araştırmacıları, hukuk firmaları, yüksek öğretim kurumları, savunma müteahhitleri, politika düşünce kuruluşları ve STK’lar” dahil olmak üzere birçok ABD kuruluşunu takip ettiği biliniyor.

Exchange saldırıları, e-posta hesaplarından veri hırsızlığına neden oldu. Bilgisayar korsanları, sıfır günden yararlanarak bir Exchange sunucusuna giriş elde eder. Genellikle bir web kabuğu kullandılar ve sunucuları uzaktan ele geçirdiler. Bu, ilişkili bir ağdan veri çalmalarına izin verir. Microsoft, bu saldırıların ABD merkezli özel sunuculardan başlatıldığını söyledi.

Microsoft’un müşteri güvenliğinden sorumlu kurumsal başkan yardımcısı Tom Burt, Exchange müşterilerini güvenlik açıklarını hızla güncellemeye çağırdı. “HAFNIUM istismarları için bir güncelleme dağıtmak için hızlı bir şekilde çalışmış olsak da, birçok ulus devlet aktörünün ve suç grubunun yama uygulanmamış sistemlerden yararlanmak için hızla harekete geçeceğini biliyoruz. Bugünün yamalarını hemen uygulamak bu saldırıya karşı en iyi korumadır” dedi.

Volexity ve Dubex adlı iki ayrı güvenlik firmasındaki araştırmacılar, Exchange saldırılarını Microsoft’un dikkatine sundu. Volexity araştırmacıları, 6 Ocak’taki saldırıların kanıtlarını buldular.

Microsoft Exchange Saldırı Verileri

Bir blog gönderisinde araştırmacılar, “Volexity, sistem belleği analizi yoluyla, saldırganın Microsoft Exchange’deki (CVE-2021-26855) sıfırıncı gün sunucu tarafı istek sahteciliği (SSRF) güvenlik açığından yararlandığını belirledi. Saldırgan, birkaç kullanıcı posta kutusunun tüm içeriğini çalmak için bu güvenlik açığını kullanıyordu. Bu güvenlik açığı uzaktan kullanılabilir ve herhangi bir türde kimlik doğrulama gerektirmez, herhangi bir özel bilgi veya hedef ortama erişim gerektirmez. Saldırganın yalnızca Exchange çalıştıran sunucuyu ve hangi hesaptan e-posta almak istediğini bilmesi gerekir.”

“SolarWinds” ile İlişkili Değil

Microsoft, son zamanlarda her açıdan alıyor. Ayrıca SolarWinds karmaşasına da karışmış durumdalar. Ancak şirkete göre, Exchange saldırısı Solar Winds ile bağlantılı değil.

Borsa saldırılarından kaç işletmenin etkilendiği açıklanmadı. Ayrıca HAFNIUM’un tek başına hareket etmeyebileceğine ve daha fazla dahil olabileceğine inanılıyor. Federal yetkililer, Exchange saldırılarını hızlandırmak için harekete geçti.

Microsoft’un geçen sonbaharda salgın nedeniyle siber saldırılarda ani artışla ilgili olarak yayınladığı uyarıyı okuyun.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.