Site icon TechInside

Microsoft Exchange’de büyük açık!

Sıfır gün güvenlik açıkları, Trend Micro’nun Sıfır Gün Girişimi (ZDI) tarafından dün açıklandı ve 7 ve 8 Eylül 2023’te Microsoft’a bildirildi.

Microsoft’un raporları kabul etmesine rağmen güvenlik mühendisleri kusurların anında hizmet verilmesini garanti edecek kadar ciddi olmadığına karar vererek düzeltmeleri sonraya erteledi.

ZDI bu cevaba karşı çıktı ve Exchange yöneticilerini güvenlik riskleri konusunda uyarmak için kusurları kendi izleme kimlikleri altında yayınlamaya karar verdi.

Kusurların bir özetini aşağıda bulabilirsiniz:

Tüm bu güvenlik açıklarının kullanımı için kimlik doğrulaması gerekiyor ve bu da CVSS ciddiyet derecesini 7,1 ile 7,5 arasına düşürüyor. Ayrıca, kimlik doğrulama gerektirmek bir azaltıcı faktör ve muhtemelen Microsoft’un hataların düzeltilmesine öncelik vermemesinin nedeni de bu.

Microsoft Exchange Server

Bununla birlikte, siber suçluların Exchange kimlik bilgilerini elde etmek için zayıf şifreleri kaba kuvvetle kullanmak, kimlik avı saldırıları gerçekleştirmek, bunları satın almak veya bilgi hırsızlığı günlüklerinden elde etmek dahil olmak üzere birçok yolu olduğunu da unutmamak gerekiyor.

Yukarıdaki sıfır günlerin, özellikle ZDI-23-1578’in (RCE) önemsiz olarak değerlendirilmemesi gerekiyor; bu durum, sistemin tamamen tehlikeye girmesine neden olabilir.

ZDI, göze çarpan tek azaltma stratejisinin Exchange uygulamalarıyla etkileşimi kısıtlamak olduğunu öne sürüyor. Ancak bu, ürünü kullanan birçok işletme ve kuruluş için kabul edilemeyecek derecede yıkıcı olabilir.

Ayrıca, hesap kimlik bilgileri ele geçirilmiş olsa bile siber suçluların Exchange örneklerine erişmesini önlemek için çok faktörlü kimlik doğrulamanın uygulanmasını da öneriyoruz.

Bir Microsoft sözcüsü, yorum taleplerine aşağıdaki ifadeyle yanıt verdi:

“Bu sorunları koordineli güvenlik açığı açıklaması kapsamında gönderen bu bulucunun çalışmasını takdir ediyoruz ve müşterilerin korunmasına yardımcı olmak için gerekli adımları atmaya kararlıyız.

Bu raporları inceledik ve bunların ya halihazırda ele alındığını ya da önem derecesi sınıflandırma yönergelerimiz kapsamında acil servis çıtasını karşılamadığını tespit ettik ve bunları gelecekteki ürün sürümlerinde ve güncellemelerde uygun şekilde ele almayı değerlendireceğiz. – bir Microsoft sözcüsü” 

Ayrıca Microsoft, keşfedilen kusurların her biri hakkında aşağıdaki ek içeriği sağladı:  

Exit mobile version