Microsoft, Exchange Server’ın şirket içi sürümlerine saldırmak için kullanılan birden fazla ZeroDay açıklarından yararlanma olayını duyurdu. Microsoft Tehdit İstihbarat Merkezi (MSTIC) tarafından gözlemlenen saldırılarda, tehdit aktörlerinin bu güvenlik açıklarını e-posta hesaplarına erişimi sağlayan şirket içi Exchange sunucularına erişmek için kullanıldığı ve hedeflediği ortamlarda uzun süre erişimi kolaylaştırmak için malware yüklenmesine izin verdiğini tespit etti.
Microsoft, veri hırsızlığını gerçekleştirmek amacıyla Çin devlet destekli HAFNIUM isimli tehdit aktörü tarafından aktif olarak istismar edildiğini söyledi. Exchange Server’da daha önce açıklanmamış dört güvenlik açığını gidermek için acil durum yamaları yayınladı.
Microsoft Tehdit İstihbarat Merkezi (MSTIC), bu kampanyayı, devlet destekli olarak değerlendirilen ve gözlemlenen, taktik ve prosedürlere dayalı olarak Çin dışında faaliyet gösteren bir grup olan HAFNIUM’un gerçekleştirmiş olduğu ihtimali üzerinde açıklamada bulundu.
Microsoft Güvenlik Yanıt Merkezi (MSRC) tarafından yayınlanan CVE listeleri;
CVE-2021-26855 : Exchange Server’da sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı
CVE-2021-26857 : Birleşik Mesajlaşma hizmetinde güvenli olmayan bir seriyi kaldırma güvenlik açığı
CVE-2021-26858 : Exchange’de kimlik doğrulama sonrası rasgele dosya yazma güvenlik açığı
CVE-2021-27065 : Exchange’de kimlik doğrulama sonrası rasgele dosya yazma güvenlik açığı
Kaynak
microsoft.com
msrc-blog.microsoft.com
