Microsoft sunucularını adeta kalbura çeviren yeni "Güvenlik Açığı" ortaya çıktı!
Microsoft'un geçenlerde Office araçlarına bulaşan "Follina" tehditi ile uğraştığını buradan sizlere duyurmuştuk. Firma yeni bir güvenlik açığı ile tehdit ediliyor. Firmanın sunucularını etkileyen bu açık ülkemizin de olduğu riskli bir güvenlik tehdidi olarak görülüyor.
Microsoft Exchange sunucularının güvenliğinin hâlâ iyi durumda olmadığına dair bilgiler gündemden düşecek gibi durmuyor. Gelsemium olarak bilinen bir tehdit firmanın sunucularını etkiliyor. Kaspersky'deki güvenlik araştırmacıları, grubun bir yıldan uzun süredir dünya çapındaki kamu kuruluşlarının sunucu altyapısına saldırmak için SessionManager adlı gizli kötü amaçlı yazılım kullandıklarını açıkladı.
Kaspersky araştırmacıları, birden fazla ülkede hükümet ve tıbbi kurumlar, askeri kuruluşlar ve STK'lar tarafından kullanılan Exchange sunucularını hedef alan yeni, tespit edilmesi zor bir "arka kapıyla" ilgili endişe verici bir rapor yayınladı. (Rapor için) SessionManager olarak adlandırılan kötü amaçlı yazılım ilk olarak 2022'nin başlarında tespit edilmiş.
Kaspersky: Microsoft sunucularında yeni bir güvenlik açığı söz konusu
Analistler tarafından gözlemlenen bazı kötü amaçlı yazılım örnekleri, birçok popüler çevrimiçi dosya tarama hizmeti tarafından işaretlenemiyordu. Ayrıca, SessionManager enfeksiyonu, hedeflenen kuruluşların yüzde 90'ından fazlasında halen devam ediyor.
Güvenlik açığının etkilendiği ülkelerin haritası
SessionManager'ın arkasındaki tehdit aktörleri bunu son 15 aydır kullanıyor. Kaspersky, saldırı düzenleri grubun MO'suna uyduğundan, saldırılardan Gelsemium adlı bir bilgisayar korsanlığı grubunun sorumlu olduğundan şüpheleniyor. Ancak analistler, suçlunun Gelsemium olduğunu tam olarak doğrulayamıyor.
Kötü amaçlı yazılım, Microsoft'un Internet Information Services (IIS) web sunucusu yazılımı için yazılmış güçlü kötü amaçlı yerel kod modüllerini kullanıyor. Sisteme kurulduktan sonra, hassas bilgileri toplamak için özel HTTP isteklerine yanıt veriyorlar. Saldırganlar ayrıca sunucular üzerinde tam kontrol sahibi olabilirken, ek bilgisayar korsanlığı araçları dağıtabilir ve bunları diğer kötü amaçlı amaçlar için kullanabilir duruma geliyor.
İlginç bir şekilde, SessionManager'ı yükleme işlemi ise toplu olarak ProxyLogon (CVE-2021-26855) olarak adlandırılan bir dizi güvenlik açığından yararlanmaya dayanıyor. Geçen yıl Microsoft Exchange sunucularının yüzde 90'ından fazlasının yamalandığını veya hafifletildiğini, ancak bu durumun zaten güvenliği ihlal edilmiş birçok sunucuyu risk altında bıraktığını açıklamıştı.
Temizleme süreci oldukça karmaşık görünüyor ancak Kaspersky araştırmacıları, kuruluşunuzu SessionManager gibi tehditlere karşı koruma konusunda birkaç ipucu verdi. (İpucu için) SessionManager'ın nasıl çalıştığı ve tehdit ettiği hakkında daha alakalı bilgiler için Securelist'e de başvurabilirsiniz.
