Mart 2021 Microsoft Exchange 0-day Bildirimleri

Mart 2021 Microsoft Exchange 0-day Bildirimleri

Microsoft, hedefli saldırılarda kullanılabilecek Microsoft Exchange Server'ın şirket içi sürümlerine saldırmak için kullanılan birden fazla sıfır gün (zero-day) zafiyetini yayınlamıştır.

Microsoft Threat Intelligence Center, bu kampanyanın Çin tarafından desteklendiği düşünülen HAFNIUM adlı grubun kullandığı teknik taktik ve prosedürler ile ilgili olabileceğini belirtmiştir.

Gözlemlenen saldırılarda, saldırganların bu güvenlik zafiyetlerini Exchange sunuculara erişmek için kullandığı ve hedef ortamlarında uzun süreli, hedefli erişimi sağlamak için ek kötücül yazılımların yüklenmesinde kullandığı belirtilmiştir.

İstismara uğrayan zafiyetler için (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065) çoklu güvenlik güncelleştirmeleri bu hafta yayınlandı. Kullanılan Exchange sunucuların acil bir şekilde güncellenmesi önerilmektedir.

Ayrıca güncellemeler için aşağıdaki bağlantılar/adresler takip edilebilir:

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Bildirilen IoC'ler

-

Webshell Hash’ler

• b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
• 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
• 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
• 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
• 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
• 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
• 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
• 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Dosya Yolları

• C:\inetpub\wwwroot\aspnet_client\
• C:\inetpub\wwwroot\aspnet_client\system_web\ In Microsoft Exchange Server setup file path:
• %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
• C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Webshell Dosya İsimleri

• web.aspx
• help.aspx
• document.aspx
• errorEE.aspx
• errorEEE.aspx
• errorEW.aspx
• errorFF.aspx
• healthcheck.aspx
• aspnet_www.aspx
• aspnet_client.aspx
• xx.aspx
• shell.aspx
• aspnet_iisstart.aspx
• one.aspx

Kaynaklar

• https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
• https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
• https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/