Microsoft, Exchange Sunucularının Ele Geçirilip Geçirilmediğinin Öğrenilebileceği Araç Yayınladı

ABD merkezli teknoloji devi Microsoft, geçtiğimiz gün büyük bir olayla gündeme geldi. Şirketin e-posta sunucusu Exchange’de ortaya çıkan bir hata, hackerlar tarafından hedef alındı. Çinli Hafnium hacker grubu tarafından yapılan saldırılar, kurbanların e-postalarını ele geçirmeye odaklanıyordu.

KrebsonSecurity tarafından aktarılanlara göre Microsoft Exchange sunucularına yapılan bu saldırılardan en az 30.000 ABD’li kuruluş etkilendi. Küçük işletmelerden şehirlere ve yerel yönetime kadar birçok yeri etkileyen bu saldırının ardından Microsoft, bugün sunucu yöneticileri için tehdidi tespit etmeleri ve azaltabilmeleri için bir araçlarını kullanıma sundu.

Microsoft, saldırılara karşı araçlarını yayınladı:

Şirket, ücretsiz olarak sunduğu ve tehlikeyi belirlemek için günlük log dosyalarını taramak için kullanılabilecek ‘Indicators of Compromise‘ aracını güncelledi. Bununla birlikte 2 Mart’ta yayınlanan bant dışı güncelleştirmeleri uygulayamayan yöneticiler için acil durum alternatif tehlike azaltma kılavuzunu da yayınladı.

Exchange yöneticilerinin sunucularını güncelleştirmeleri, saldırılara karşı büyük bir önem taşıyor. Çünkü Hafnium hacker grubu, saldırının ardından sunucuda daha fazla kontrole sahip olabilmek için arkalarında bir de web shell bıraktılar. Bu sayede site üzerinden sunucuda kod çalıştırma, dosya oluşturma, silme, okuma ve daha birçok şeyi yapmaya imkân kazandılar.

Sunucuların mevcut durumuysa biraz iç karartıcı diyebiliriz. Saldırıyı keşfeden Volexity Başkanı Steven Adair, yöneticilerin Microsoft’un güncellemelerini yayınlanır yayınlanmaz indirmiş olmalarına rağmen yüksek olasılıkla halen web shell’e ev sahipliği yaptıklarını belirtti. Henüz güncelleme yapmayan yöneticilereyse kuruluşlarının çoktan ele geçirilmiş olabileceğini söyledi.