Mimikatz adıyla bilinen oldukça popüler sızma testi aracının yaratıcısı Benjamin Delpy 8 Ağustos tarihinde “Windows 365 Cloud PC” servisinde Microsoft Azure kimlik bilgilerinin okunabilir şekilde tutulduğunu keşfetti.
Kullanıcıların, buluttaki cihazlarına erişmek için Microsoft Azurekimlik bilgilerini kullanarak Web Browser üzerinden bir RDP bağlantısı açması gerekiyor. Delpy, yaptığı araştırmada Mimikatz üzerinde bulunan “ts”modülü sayesinde RDP oturum bilgilerini elde edebildiğini açıkladı. Ayrıca, Terminal Server’ın hashlenmiş bir şekilde tutulan kimlik bilgilerini decrypt işlemi ile plaintext olarak elde edebildiğini söyledi.
- Windows 365 Cloud PC servisinden elde edilecek parola ile bir saldırgan diğer Microsoft servislerine erişim sağlamasına neden olabilir.
- Diğer Microsoft servislerine erişimi olan saldırgan, kurum içi-kurum dışına yayılabilme imkanı yakalayacaktır.
- Elde edilen kimlik bilgileri ile daha farklı hesaplara giriş imkanı sağlanabilir.
Delpy, 2FA, akıllı kartlar, Windows Hello ve Windows Defender Remote Credential Guard gibi seçeneklerin kullanılmasının bu gibi saldırıların etkisini azalttığını fakat Microsoft’un henüz Windows 365 Cloud PC servisinde belirtilen önlemleri sunmadığını açıkladı.
Eski Cisco Small Business Router’larda Kritik Zafiyetler
Eski Cisco Small Business Router’larında uzaktan kod çalıştırmaya ve DoS saldırılarına izin veren kritik bir zafiyet keşfedildi. Dünyaca ünlü ağ donanım devi Cisco ise ömrünü 2019’da tamamlayan eski router’larda keşfedilen kritik zafiyeti düzeltmeyeceklerini açıkladı.
Quentin Kaiser tarafından raporlanan ve CVSS skoru 9.8 olarak saptanan CVE-2021-34730 kodlu zafiyet, router cihazlarınEvrensel Tak ve Çalıştır (UPnP) servisinde bulunuyor. Söz konusu zafiyet, kimliği doğrulanmamış uzak bir saldırganın rastgele kod çalıştırmasına veya cihazı beklenmedik bir şekilde yeniden başlatarak hizmet reddine (DoS) yol açabiliyor.
Şirket tarafından yapılan açıklamaya göre UPnP trafiğinin yanlış doğrulanmasından kaynaklı olarak ortaya çıkan güvenlik açığı sebebiyle, zafiyeti bulunduran cihaza özel hazırlanmış bir UPnP isteği gönderilerek cihazın temel işletim sistemi üzerinde root yetkileriyle uzaktan kod çalıştırma işlemi gerçekleştirilebiliyor.
Zafiyetten etkilenen cihazlar şu şekilde:
- RV110W Wireless-N VPN Firewall’lar
- RV130 VPN Router’lar
- RV130W Wireless-N Multifunction VPN Router’lar
- RV215W Wireless-N VPN Router’lar
Zafiyetin tespitinin ardından herhangi bir yazılım güncellemesi yapılmayacağına değinen Cisco, zafiyetten mağdur olabilecek müşterilerine UPnP servisini devre dışı bırakmalarını veya RV132W, RV160, RV160W model routerlara geçiş yapmalarını önerdi.
Praying Mantis APT Grubu
The Sygnia IR takımı, ASP.NET uygulamalarındaki eski güvenlik açıklarını kullanarak Microsoft IIS web sunucularına saldırılar düzenleyen bir APT grubu keşfetti. Literatüre TG1021 ya da Praying Mantis (Peygamber Devesi) olarak dahil edilen bu tehdit aktörü, sistemlere çoğunlukla insecure deserialization zafiyetlerinden yararlanarak sızıyor ve zarar veriyor.
TG2021 aktörü, saldırı için özel yapılandırılmış bir zararlı yazılım kullanıyor. Bu zararlı yazılım IIS server’lar üzerinde uyumlu bir şekilde çalışıyor. Grup, kendini imha edecek şekilde tasarlanmış bir araç takımı kullanıyor ve bu sayede etkilenen sistemde iz bırakmıyor. İki gruba ayrılan bu araç takımının ilk aşaması, webshell yükleyiciler ve çekirdek bileşenden (NodeIISSWeb Malware) oluşuyor.
İkinci aşama araçları ise arka kapı bırakmaya yarayan windows tabanlı araçları ve post-exploitation modüllerini içeriyor. Malware, IIS sunucusuna yüklendikten sonra, gelen tüm HTTP requestlerini yakalamaya başlıyor. Aynı zamanda açmış olduğu arka kapı ve post-exploitation modüllerini kullanarak ağ keşfi, yetki yükseltme ve ağlar arasında yanal olarak ilerleme yapabiliyor.
The NodeIISWeb zararlı yazılımı, kayıt (logging) mekanizmasına sürekli müdahalelerde bulunarak EDR’lara yakalanmamayı başarıyor. Aynı zamanda diskte konumlanan araçlar, kullanıldıktan hemen sonra siliniyor.
Sygnia ekibi, .NET üzerinde bulunan insecure deserialization zafiyetlerini bir an önce kapatmayı, bilinen IoC’leri (Indicators Of Compromise) araştırmayı ve internete açık olan tüm IIS server’lardaki şüpheli aktivitelerin uzmanlar tarafından incelenmesini öneriyor.
Fortinet FortiWeb’de Kritik Zafiyet
FortiWeb, Fortinet tarafından web uygulamalarına yönelik tehditleri yakalamak için geliştirilmiş bir WAF (web application firewall) ürünüdür. FortiWeb api güvenliği ve şüpheli bot hareketlerinin tespit edilip engellenmesinde de rol oynar.
Ancak FortiWeb’de OS command injection zafiyeti keşfedildi. Kritik zafiyet Rapid7’den William Wu tarafından bildirildi. CVE-2021-22123 koduyla bilinen zafiyet, 8.7 CVSSv3 puanına sahip ve kimliği doğrulanmış bir saldırgan tarafından sistemde kod çalıştırılmasına olanak sağlıyor.
Zafiyet aşağıda belirtilen sürümleri etkiliyor:
- FortiWeb versiyon 6.4.0
- FortiWeb versiyon 6.3.14 ve altı
- FortiWeb versiyon 6.2.4 ve altı
Yönetim arayüzüne ilk kez giriş yapan saldırgan SAML konfigürasyon sayfasındaki “Name” alanında ” işaretleri arasına komutunu yazarak sistemde root yetkisinde komutlar çalıştırabiliyor ve tam yetki elde edebiliyor. Bu zafiyet ile saldırgan sistemde kalıcı shell elde edebiliyor veya zararlı yazılımlar çalıştırabiliyor.
Fortinet, bu zafiyetten korunmak için güvenilmeyen ağlardan yönetim arayüzüne erişimi kapatmayı ve zafiyetten etkilenmeyen sürümlerin kullanılmasını öneriyor.
Mors Kodu Kullanarak Phishing
Microsoft araştırmacıları, bir yıl boyunca süren bir phishing (oltalama) saldırısının ayrıntılarını açıkladı. Araştırmacılara göre bilgisayar korsanları, phishing saldırılarında tespit edilmemek için Mors kodları kullandı.
Araştırmacılar, ilk olarak Temmuz 2020’de tespit edilen saldırının Office 365 kullanıcılarını hedeflediğini ve fatura temalı “XLS.HTML” uzantılı HTML dosyalarını e-posta ile yollayarak kimlik bilgilerini çalmaya çalıştıklarını söyledi. E-posta ekine tıklandığında açılan tarayıcı penceresinde, bir Excel belgesinin üzerinde sahte bir Microsoft Office 365 kimlik bilgileri iletişim kutusu görüntüleniyor. İletişim kutusunda, Excel belgesine erişimlerinin zaman aşımına uğradığı iddiasıyla kullanıcıların yeniden oturum açması gerektiği yazıyor. Kullanıcı parolayı girdiğinde, yazılan parolanın yanlış olduğu konusunda bir uyarıyla karşılaşıyor ve kötü amaçlı yazılım arka planda bilgileri gizlice topluyor. Arka planda çalışan yazılım mors kodları ile kodlandığı için zararlı yazılımın anlaşılması çok zorlaşıyor.
Microsoft, e-posta ekini bir “yapboz bulmacasına” benzeterek, HTML dosyasının bölümlere ayrıldığında tek tek zararsız göründüğünü ve güvenlik yazılımlarını atlatacak şekilde tasarlandığını belirtti. Ekip, ancak bu bölümlerin kodu çözüldükten sonra bir araya getirilmesiyle gerçek işlevinin ortaya çıktığını söyledi.
Saldırının, Temmuz 2020’deki keşfinden bu yana 10 kez tekrarlandığı düşünülüyor. Saldırganın, HTML ekinin işlevini ve dosyada bulunan farklı saldırı segmentlerini gizlemek için kodlama yöntemlerini periyodik olarak değiştirdiği söyleniyor.
Proxyshell Bulunduran Microsoft Exchange Sunucuları Hedef
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ProxyShell güvenlik açıkları barındıran Microsoft Exchange Server’ları hedef alan siber saldırılara karşı uyarıyor.
Güvenlik zafiyetleri, siber güvenlik araştırmacısı olan Orange Tsai ve arkadaşları tarafından bulundu ve bu yılın başlarında Pwn2Own yarışmasında gösterildi. Huntress Labs’daki araştırmacılara göre 1900 kadar yama yapılmamış Microsoft Exchange Server bu saldırılardan etkilendi ve 140’tan fazla saldırı bildirildi. Hackerların, henüz yama yapmamış Microsoft Exchange Serverlar’ına ProxyShell zafiyetlerini kullanarak sızdığı, daha sonra post exploitation için backdoor (arka kapı) oluşturduğu ve sisteme zarar verdiği belirlendi.
CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 olarak belirlenen güvenlik açıkları saldırganlara, ACL kontrollerini bypasslamaya, Exchange PowerShell backend de yetki yükseltmeye ve yetkisiz olarak uzaktan kod çalıştırmaya (RCE) izin veriyor.
Güvenlik Açıkları:
- CVE-2021-34473: Pre-auth path karışıklığı, ACL Bypass’a neden oluyor
- CVE-2021-34523: Exchange PowerShell Backend’de yetki yükseltmesi
- CVE-2021-31207: Post-auth Uzaktan Kod Çalıştırma
Microsoft Exchange sunucusu kullanıyorsanız saldırılardan korunmak için Microsoft Exchange Temmuz 2021 güvenlik güncelleştirmelerini uyguladığınızdan emin olun.
Sızma Testleri ve Red Team hizmetleri için tecrübeli bir ekibe ihtiyacınız varsa, doğru yerdesiniz! Uzmanlarımızla iletişime geçerek fiyat teklifi ve detaylı bilgi alabilirsiniz.