Microsoft, Exchange Hücumları İçin Bir Araç Yayınladı

ABD merkezli teknoloji devi Microsoft, geçtiğimiz gün büyük bir olayla gündeme geldi. Şirketin e-posta sunucusu Exchange’de ortaya çıkan bir kusur, hackerlar tarafından gaye alındı. Çinli Hafnium hacker kümesi tarafından yapılan ataklar, kurbanların e-postalarını ele geçirmeye odaklanıyordu.

KrebsonSecurity tarafından aktarılanlara nazaran Microsoft Exchange sunucularına yapılan bu akınlardan en az 30.000 ABD’li kuruluş etkilendi. Küçük işletmelerden kentlere ve lokal idareye kadar birçok yeri etkileyen bu hücumun akabinde Microsoft, bugün sunucu yöneticileri için tehdidi tespit etmeleri ve azaltabilmeleri için bir araçlarını kullanıma sundu.

Microsoft, akınlara karşı araçlarını yayınladı:

Şirket, fiyatsız olarak sunduğu ve tehlikeyi belirlemek için günlük log belgelerini taramak için kullanılabilecek ‘Indicators of Compromise‘ aracını güncelledi. Bununla birlikte 2 Mart’ta yayınlanan bant dışı güncelleştirmeleri uygulayamayan yöneticiler için acil durum alternatif tehlike azaltma kılavuzunu da yayınladı.

Exchange yöneticilerinin sunucularını güncelleştirmeleri, taarruzlara karşı büyük bir ehemmiyet taşıyor. Zira Hafnium hacker kümesi, taarruzun akabinde sunucuda daha fazla denetime sahip olabilmek için gerilerinde bir de web shell bıraktılar. Bu sayede site üzerinden sunucuda kod çalıştırma, belge oluşturma, silme, okuma ve daha birçok şeyi yapmaya imkân kazandılar.

Sunucuların mevcut durumuysa biraz iç karartıcı diyebiliriz. Saldırıyı keşfeden Volexity Lideri Steven Adair, yöneticilerin Microsoft’un güncellemelerini yayınlanır yayınlanmaz indirmiş olmalarına karşın yüksek olasılıkla hala web shell’e mesken sahipliği yaptıklarını belirtti. Şimdi güncelleme yapmayan yöneticilereyse kuruluşlarının çoktan ele geçirilmiş olabileceğini söyledi.