ABD merkezli teknoloji devi Microsoft, geçtiğimiz gün büyük bir olayla gündeme geldi. Şirketin e-posta sunucusu Exchange’de ortaya çıkan bir kusur, hackerlar tarafından maksat alındı. Çinli Hafnium hacker kümesi tarafından yapılan hücumlar, kurbanların e-postalarını ele geçirmeye odaklanıyordu.
KrebsonSecurity tarafından aktarılanlara nazaran Microsoft Exchange sunucularına yapılan bu hücumlardan en az 30.000 ABD’li kuruluş etkilendi. Küçük işletmelerden kentlere ve lokal idareye kadar birçok yeri etkileyen bu taarruzun akabinde Microsoft, bugün sunucu yöneticileri için tehdidi tespit etmeleri ve azaltabilmeleri için bir araçlarını kullanıma sundu.
Microsoft, ataklara karşı araçlarını yayınladı:
Şirket, fiyatsız olarak sunduğu ve tehlikeyi belirlemek için günlük log belgelerini taramak için kullanılabilecek ‘Indicators of Compromise‘ aracını güncelledi. Bununla birlikte 2 Mart’ta yayınlanan bant dışı güncelleştirmeleri uygulayamayan yöneticiler için acil durum alternatif tehlike azaltma kılavuzunu da yayınladı.
Exchange yöneticilerinin sunucularını güncelleştirmeleri, ataklara karşı büyük bir değer taşıyor. Zira Hafnium hacker kümesi, akının akabinde sunucuda daha fazla denetime sahip olabilmek için artlarında bir de web shell bıraktılar. Bu sayede site üzerinden sunucuda kod çalıştırma, evrak oluşturma, silme, okuma ve daha birçok şeyi yapmaya imkân kazandılar.
Sunucuların mevcut durumuysa biraz iç karartıcı diyebiliriz. Saldırıyı keşfeden Volexity Lideri Steven Adair, yöneticilerin Microsoft’un güncellemelerini yayınlanır yayınlanmaz indirmiş olmalarına karşın yüksek olasılıkla hala web shell’e mesken sahipliği yaptıklarını belirtti. Şimdi güncelleme yapmayan yöneticilereyse kuruluşlarının çoktan ele geçirilmiş olabileceğini söyledi.
