Microsoft Exchange Server’in Güvenlik Açığını Kullanan Çinli Hackerlar E-postaları Çalıyor

Haberleşme yazılımı olan Microsoft Exchange Server ’i kullanıyorsanız, acil durum yamalarını yüklemenin tam zamanı! Bir hacker grubu, ABD merkezli sunuculardan e-posta dosyalarını çalmak için daha önce bilinmeyen güvenlik açıklarından yararlandı. Microsoft, saldırılar konusunda Çin devletinin desteklediği “Hafnium” adlı bir grubu suçladı ve bu gruba karşı dikkatli olmaları hakkında halkı uyardı. Bu saldırılardan Exchange Online ve diğer Microsoft ürünleri etkilenmedi.

Halen devam eden saldırılar, Microsoft Exchange Server 2013, 2016 ve 2019‘daki dört güvenlik açığından yararlanıyor. Bu nedenle Microsoft, kurumsal müşterilerinin en kısa sürede yeni yamaları yüklemesini söylüyor. Şirket, yaptığı bir açıklamada; “Gözlenen saldırılarda tehdit aktörü, şirket içi Exchange sunucularına erişmek için bu güvenlik açıklarını kullandı. Sonucunda e-posta hesaplarına erişimi etkinleştirdi ve uzun vadeli erişimi kolaylaştırmak için ek kötü amaçlı yazılımların yüklenmesini sağladı.” şeklinde yazdı.

Güvenlik firması Volexity’ye göre saldırılar, hackleme kampanyasının ortaya çıkarılmasına yardımcı olan 6 Ocak tarihi kadar erken bir zamanda başladı. Volexity, bilgisayar korsanlarının güvenlik açıklarını Exchange sunucularından iki Microsoft müşterisinin e-posta dosyalarını yağmalamak için kullandığını fark etti. Özellikle güvenlik açıklarından biri olan CVE-2021-26855, ciddidir çünkü herhangi bir kimlik doğrulaması olmadan uzaktan kullanılabilir.

Microsoft Exchange Server’in En Güncel Yaması Acilen Yüklenmeli

Volexity bu konuda, saldırganın yalnızca Microsoft Exchange Server çalıştıran sunucuyu ve e-posta almak istediği hesabı bilmesinin yeterli olduğunu söyledi. Ayrıca ikinci bir güvenlik açığının, bir saldırganın Microsoft Exchange sunucusuna kötü amaçlı yazılım yüklemesini sağlayarak uzaktan kod yürütülmesine kapı açabileceğini de ekledi.  Microsoft’a göre Hafnium, bulaşıcı hastalık araştırmacıları, hukuk firmaları, yükseköğretim kurumları, savunma müteahhitleri, politika düşünce kuruluşları ve STK’lar dâhil olmak üzere ABD hedeflerinden bilgi çalarken bulundu.

Garip olan ise Microsoft, Çin devletinin desteklediği grubun, saldırılardan kurtulmasına yardımcı olmak amacıyla ABD’de sanal özel sunucular kullandığını söylüyor. Şirket açıklamasında, “Hafnium istismarlarına karşı bir güncelleme dağıtmak için hızlı bir şekilde çalışmış olsak da, birçok ulus-devlet tehdit aktörlerinin ve suç gruplarının herhangi bir yamalanmamış sistemden yararlanmak için hızla hareket edeceğini biliyoruz. Saldırılardan en iyi şekilde korunmak için derhal en güncel yamalar yüklenmelidir.” diye de belirtti.

Ek bir önlem olarak Microsoft, tehdidin azaltılmasına yardımcı olmak için Microsoft Exchange Server 2010 için bir yama yayınlamakla beraber, ücretsiz anti-virüs programı olan Microsoft Defender’ı, Hafnium’un kötü amaçlı yazılım araçlarını tespit edecek şekilde güncelledi. Ayrıca 3 milyar kullanıcının e-posta kimliği ve şifresinin internete sızmasıyla ilgili haberimizi de buradan okuyabilirsiniz.