Pazartesi, Mayıs 23Önemli Haberler

Kaspersky, kimlik bilgilerini çalan Microsoft Exchange eklentisini ortaya çıkardı

Kaspersky daha evvel bilinmeyen, Microsoft web sunucularına ek özellikler sağlamayı amaçlayan bir yazılım modülü halinde gizlenen IIS modülünü ortaya çıkardı. Kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik bilgilerini çalan bu modüle Owowa ismi verildi. Modül saldırganların sunucuya uzaktan denetim erişimi elde etmelerini de sağlıyor. 2020 sonu ile Nisan 2021 ortasında derlenen bu modül, ağ izlemeyle tespit edilmesi güç olan zımnî bir hırsızlık sistemi kullanıyor. Ayrıyeten Exchange’den gelen yazılım güncellemelerine karşı da güçlü ve aygıtta uzun müddet kapalı kalabiliyor.

2021’de gelişmiş tehdit aktörleri, Microsoft Exchange Server’ın güvenlik açıklarından giderek daha fazla yararlanmaya başladı. Mart ayında sunuculardaki dört kritik güvenlik açığı, saldırganların kayıtlı tüm e-posta hesaplarına erişmesine ve rastgele kod yürütmesine müsaade verdi. Kaspersky uzmanları, Exchange’de potansiyel olarak ziyanlı olabilecek eklentileri ararken, saldırganların Outlook Web Access için oturum açma kimlik bilgilerini çalmasına ve sunucuya uzaktan erişim elde etmesine imkan tanıyan makus hedefli bir modülü ortaya çıkardı. Kaspersky, bu makûs emelli modüle Owowa ismini verdi. Modülün yetenekleri, görünüşte zararsız istekler gönderilerek (OWA kimlik doğrulama istekleri gibi) kolay kolay başlatılabiliyor.

Kaspersky uzmanları, modülün 2020 sonuyla Nisan 2021 ortasında derlendiğine ve Malezya, Moğolistan, Endonezya ve Filipinler’deki kurbanları maksat aldığına inanıyor. Kurbanların birden fazla devlet kurumlarıyla, bir oburu ise bir devlet nakliye şirketine bağlıydı. Avrupa’da da öteki kurbanların olması beklenen.

Siber hatalıların kullanıcı ismi ve parola alanlarına özel hazırlanmış komutları girmek için sırf güvenliği ihlal edilmiş sunucunun OWA oturum açma sayfasına erişmesi yetiyor. Bu, saldırganların Exchange sunucusunda ve hedeflenen ağlarda kalıcı olarak güçlü bir yer edinmesinde epeyce tesirli oluyor.

Kaspersky araştırmacıları, Owowa’yı bilinen rastgele bir tehdit aktörüyle ilişkilendiremedi. Tekrar de başka birkaç makus maksatlı yükleyicinin ardında olabilecek bir geliştirici olan “S3crt” kullanıcı ismiyle bağlı olduğunu buldular. Bununla birlikte, “S3crt”, İngilizce “gizli” sözünün kolay bir türevine karşılık geliyor ve birden fazla tehdit aktörü tarafından kullanılabiliyor. Bu nedenle, bu berbat niyetli ikili belgelerin ve Owowa’nın kontağının olmaması da mümkün.

Kaspersky Küresel Research Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher şunları söyledi: “Owowa ile ilgili temel tehlike, saldırganın web hizmetlerine yasal olarak erişen kullanıcıların kimlik bilgilerini çalmak için bu modülü kullanabilmesidir. Bu, uzaktan erişim elde etmenin kimlik avı e-postaları göndermekten çok daha bâtın bir yolu. Ek olarak bu tıp tehditleri tespit etmek için IIS yapılandırma araçlarından yararlanılsa da bunlar standart belge ve ağ izleme etkinliklerinin bir modülü değil. Bu nedenle Owowa güvenlik araçlarının gözünden kolaylıkla kaçabilir.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres de şunları ekliyor: “Owowa bir IIS modülü. Bu birebir vakitte Microsoft Exchange güncellense bile çalışmaya devam ettiği manasına geliyor. Düzgün haber şu ki saldırganlar çok sofistike görünmüyor. Şirketler, son derece hassas oldukları ve tüm kurumsal e-postaları içerdiği için Exchange sunucularını dikkatle yakından izlemeli. Ayrıyeten çalışan tüm modülleri kritik olarak değerlendirmenizi ve bunları tertipli olarak denetim etmenizi öneririz.”

Owowa hakkındaki raporun tamamını Securelist’te okuyabilirsiniz

Kendinizi bu çeşit tehditlerden korumak için Kaspersky şunları önerir:

  • Açıkta kalan IIS sunucularında (özellikle Exchange sunucularında) yüklü IIS modüllerini nizamlı olarak denetim edin ve IIS sunucu paketindeki mevcut araçlardan yararlanın. Microsoft sunucu eserlerinde büyük bir güvenlik açığı duyurulduğunda, tehdit avı etkinliklerinin bir modülü olarak bu cins modülleri denetim edin.
  • Savunma stratejinizi içerideki hareketleri ve internete bilgi sızmasını tespit etmeye odaklayın. Siber hatalı ilişkilerini tespit etmek için giden trafiğe bilhassa dikkat edin. Bilgilerinizi tertipli olarak yedekleyin. Acil bir durumda yedeklere süratlice erişebildiğinizden emin olun.
  • Saldırganlar maksatlarına ulaşmadan evvel, saldırıyı erken evrelerde belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti üzere tahlilleri kullanın.
  • Makus emelli aksiyonları geri alabilen, berbata kullanım tedbire, davranış algılama ve düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business üzere sağlam bir uç nokta güvenlik tahlili kullanın. KESB ayrıyeten siber hatalılar tarafından kaldırılmasını engelleyebilecek savunma düzeneklerine da sahiptir.

Kaynak: (BHA) – Beyaz Haber Ajansı

Bir cevap yazın

istanbul escort | beylikdüzü escort | istanbul escort bayan | tesettürlü escort | halkalı escort | kayaşehir escort | şirienevler escort |