Microsoft, bugün doğrulanmış saldırganların kodu uzaktan savunmasız sunucularda kod yürütmesine izin verebilecek yüksek şiddeti bir Exchange sunucusu güvenlik açığını hemen düzeltmek için güncellendi.
CVE-2021-42321 olarak izlenen güvenlik hatası, Exchange Server 2016 ve Exchange Server 2019'u etkiler ve CMDlet Argümanlarının Tredmond'ın güvenlik danışmanına göre uygunsuz doğrulanmasından kaynaklanır.
CVE-2021-42321 Müşteriler tarafından Exchange Hybrid modunda kullanılanlar da dahil olmak üzere şirket içi Microsoft Exchange sunucularını etkiler (Exchange Online müşterileri sömürü girişimlerine karşı korunur ve başka bir işlem yapmaya gerek yoktur).
Microsoft, "Müşteri 2016 ve 2019'da kimlik doğrulama sonrası güvenlik açığı olan kırılganlık sonrası bir güvenlik açığı olan (CVE-2021-42321), vahşi olarak sınırlı hedeflenen saldırıların farkındayız.
"Önerimiz, ortamınızı korumak için bu güncellemeleri hemen yüklemektir."
Çevrenizdeki tüm Exchange sunucularının güncellemelerinde (CUS ve SUS) hızlı bir şekilde envanteri için, Exchange Server Health Checker betiğinin en son sürümünü kullanabilirsiniz.
Exchange Sunucularınızdan herhangi birinin CVE-2021-42321 sömürü denemelerinden herhangi birinin vurulduğunu kontrol etmek ve görmek istiyorsanız, olay günlüğündeki belirli olayları kontrol etmek için her bir Exchange sunucusunda aşağıdaki PowerShell sorgusunu çalıştırmanız gerekir:
Eylül ayında, Microsoft, savunmasız değişim sunucuları için otomatik koruma sağlayan Microsoft Exchange acil Aperum (EM) adlı yeni bir Exchange Server özelliği ekledi.
Bu, yüksek riskli güvenlik hatalarının, tesis içi sunucuları gelen saldırılara karşı güvence altına almak için yüksek riskli güvenlik hataları için otomatik olarak azaltma uygulayarak ve güvenlik güncelleştirmelerini uygulamak için ek zamanlara yöneliktir.
Redmond, bu yeni özelliği CVE-2021-42321 gibi aktif olarak sömürülen kusurları azaltmak için kullanacağını söyledi, bugünün danışmanlığı ve bu ayın Exchange Server güvenlik güncelleştirmeleri ile ilgili blog yazısı, Exchange EM'nin kullanıma girme sözlerini içermiyor.
2021'in başından bu yana, Exchange Admins, Proxylogon ve Proxyshell güvenlik açıklarını hedef alan iki büyük saldırı dalgası ile ilgilendi.
Mart başlarında başlayarak, birden fazla devlet destekli ve finansal olarak motive olmuş tehdit aktörleri, Proxylogon'un web kabuklarını, kriptominerleri, fidye yazılımlarını ve diğer kötü amaçlı yazılımları dağıtmak için kullandılar.
Dört ay sonra, ABD ve Müttefikler, Avrupa Birliği, Birleşik Krallık ve NATO dahil, bu yaygın Microsoft Exchange Hack Kampanyası için resmen Çin'i suçladı.
Ağustos ayında saldırganlar, güvenlik araştırmacıları çalışan bir istismarın çoğaltılmasından sonra proxyshell güvenlik açıklarını kullanarak Exchange Sunucularını kullanarak taramaya başladı.
Başlangıçta, PROXYSHELL EXPLUSITS kullanılarak sömürülen Exchange Sunucularına atılan yükler zararsız, tehdit aktörleri daha sonra, Windows Etki Alanları arasında yayınlanan LockFile Ransomware yüklerini dağıtmaya geçti.
Microsoft: İran bağlantılı bilgisayar korsanları ABD Savunma Teknoloji Şirketlerini hedefleyin
Yeni Microsoft Exchange Hizmeti, yüksek riskli hataları otomatik olarak azaltır
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Microsoft Kasım 2021 Yama Salı Düzeltmeler 6 Sıfır Gün, 55 Kusurları
Windows 11 KB5007215 Güncellemesi Uygulama Düzeltmeleri ile Yayınlandı
Kaynak: Bleeping Computer