Microsoft bugün müşterileri, en son desteklenen kümülatif güncellemeyi (CU) uygulayarak şirket içi değişim sunucularını yamalı tutmaya çağırdı.
Redmond, Exchange Server güncelleme işleminin "basit" (birçok yöneticinin katılmadığı bir şey) olduğunu ve güncellemeleri yükledikten sonra her zaman Exchange Server Health Checker komut dosyasını çalıştırmanızı önerir.
Bu, performans sorunlarına veya basit bir değişim ortamı yapılandırma değişikliğiyle düzeltilebilecek sorunlara neden olduğu bilinen yaygın yapılandırma sorunlarının tespit edilmesine yardımcı olur. Herhangi bir sorun bulursa, komut dosyası, gerçekleştirilmesi gereken ek manuel görevler için adım adım rehberlik eden makalelere bağlantılar sağlar.
"Exchange sunucularınızı bilinen güvenlik açıklarından yararlanan saldırılara karşı savunmak için, en son desteklenen CU'yu (bu yazıdan itibaren Exchange Server 2019 için CU12, Exchange Server 2016 için CU23 ve Exchange Server 2013 için CU23) ve en son SU (CU23) ve en son SU'yu yüklemelisiniz ( Bu yazı itibariyle, Ocak 2023 SU), "dedi.
"Exchange Sunucusu CUS ve SUS kümülatiftir, bu nedenle sadece en son mevcut olanı yüklemeniz gerekir. En son CU'yu kurarsınız, ardından CU serbest bırakıldıktan sonra herhangi bir SUS serbest bırakılıp serbest bırakılmadığını görün. Eğer öyleyse, en son (en son) Su yükleyin . "
Microsoft ayrıca Exchange yöneticilerinin bir "Güncelleme Deneyimi Anketi" ile Exchange Server güncelleme işleminin nasıl geliştirilebileceği hakkında bilgi vermelerini istedi.
Şirket, "Bu anketin amacı, Exchange Server Kümülatif Güncellemenizi (CU) ve Güvenlik Güncellemenizi (SU) deneyimlerini anlamaktır, böylece deneyimleri geliştirmenin ve sunucularınızı güncel tutmanıza yardımcı olmanın yollarını arayabiliriz."
"Bu ankette toplanan bilgiler yalnızca Microsoft'taki Exchange Server Mühendislik Ekibi tarafından ve yalnızca güncelleme deneyimlerini geliştirmek için kullanılacaktır."
Değişim sunucularını hedeflerken bazı tehdit aktörlerinin hedefleri, kullanıcıların posta kutuları, şirketin adres defteri içinde hassas bilgilere erişim elde etmeyi ve bu da sosyal mühendislik saldırılarını daha etkili hale getirmeye yardımcı olacak ve kuruluşların aktif dizin ve bağlantılı bulut ortamlarını içerir.
Ne yazık ki, Exchange sunucuları, FIN7 siber suçlu grubunun Exchange sunucularını ihlal etmek için özel olarak tasarlanmış checkmark'lar olarak adlandırılan özel bir otomatik saldırı platformu oluşturma çabalarının kanıtladığı gibi, son derece aranan hedeflerdir.
Tehdit Intel firması Prodaft'a göre, Fin7'nin yeni platformu, 1.8 milyondan fazla hedefi taradıktan sonra 8.147 şirketin (çoğu Amerika Birleşik Devletleri'nde bulunan) ağlarını ihlal etmek için kullanıldı.
Bugünkü uyarı, Microsoft'un yöneticilerden, resmi yamaların serbest bırakılmasından iki ay önce saldırılarda kullanılan proxylogon güvenlik açıklarını ele almak için acil bant dışı güvenlik güncellemeleri yayınladıktan sonra, yöneticilerden sürekli olarak şirket içi değişim sunucularını yamasını istedikten sonra geliyor.
En az on hack grubu, Mart 2021'de çeşitli amaçlar için Proxylogon istismarlarını kullanıyordu, biri Microsoft tarafından Hafnium olarak izlenen Çin sponsorlu bir tehdit grubu.
Bu tür saldırılara maruz kalan büyük sayıda kuruluşu göstermek için, Hollanda Güvenlik Açığı Açıklama Enstitüsü (DIVD), Microsoft'un güvenlik güncellemelerini yayınladıktan bir hafta sonra proxylogon hatalarına karşı 46.000 sunucu buldu.
Daha yakın zamanlarda, Kasım 2022'de Microsoft, Wild Insouring'in ilk kez tespit edildikten iki ay sonra, uzlaşmış sunucularda ayrıcalık artışına ve uzaktan kod yürütülmesine izin veren Proxynotshell olarak bilinen başka bir değişim hatası setini düzenledi.
Konsept Kanıtı (POC), Backdoor Exchange sunucularına kullanılan saldırganlardan istismar, Proxynotshell güvenlik güncellemeleri yayınlanmasından bir hafta sonra çevrimiçi olarak piyasaya sürüldü.
Son olarak, CISA, federal ajanslara OWASSRF olarak adlandırılan ve oyun fidye yazılımı tarafından taciz edilen bir Microsoft Exchange hatasını yamasını emretti.
Bu ayrıca, Microsoft'un en son desteklenen CU'ları şirket içi değişim sunucularına dağıtma tavsiyesini izlemenin önemini göstermektedir, çünkü tek başına azaltma önlemleri, sadece geçici koruma sağladıkları için motive olmuş ve iyi kaynaklanan saldırganlara karşı savunmak zorunda değildir.
İşleri perspektife sokmak için, bu ayın başlarında, Shadowserver Vakfı'ndaki güvenlik araştırmacıları, çevrimiçi olarak maruz kalan 60.000'den fazla Microsoft Exchange sunucusunun CVE-2022-41082 Uzak Kod Yürütülmesini (RCE) güvenlik açığını hedefleyen proxynotshell istismarlarından yararlanmaya karşı savunmasız olduklarını buldu.
İşleri daha da kötüleştiren Shodan'da yapılan bir arama, çevrimiçi olarak maruz kalan önemli sayıda değişim sunucusu gösteriyor ve binlerce kişi, 2021'in en çok sömürülen güvenlik açıklarından bazıları olan proxyshell ve proxylogon kusurlarını hedefleyen saldırılardan korunmayı bekliyor.
Proxynotshell saldırılarına karşı savunmasız 60.000'den fazla değişim sunucusu
CISA, ajanslara fidye yazılımı çetesi tarafından kötüye kullanılan borsa hatası yapmasını emreder
Microsoft: Exchange Server 2013 90 gün içinde desteğin sonuna ulaştı
Rackspace, fidye yazılımı saldırısından sonra kimlik avı riskleri konusunda uyarıyor
CISA: Meşru uzak masaüstü araçlarını kullanarak hacklenen federal ajanslar
Kaynak: Bleeping Computer