btbilgi

Microsoft Exchange sunucularını etkileyen açıklar, geçtiğimiz iki hafta boyunca güvenlik dünyasının ana konusunu oluşturdu. Açıklarla ilgili firmanın verdiği resmi bilgilerin ve acil uygulanması tavsiye edilen yamaların dışında, bu açıkları kullanarak çeşitli saldırılar yapan siber suç grupları da tespit edildi. İşte bu saldırılardan biri de ‘DearCry’.

Siber saldırganlar ortaya çıkartılan Exchange ve ProxyLogon sıfır günü (zero-day) açıklarından zaman kaybetmeksizin yararlanmaya başladı. DearCry adlı fidye yazılımının aktiviteleri hakkında bilgi veren siber güvenlik firması Sophos, yazılımın bu açıklardan faydalandığı saptanan en ciddi saldırılardan biri olduğunu belirtmekte.

Yayımlanan raporda, DearCry şifreleme davranışı açısından uzmanların ‘Kopya’ olarak adlandırdığı türe karşılık geldiği aktarılmış. Bu türdeki fidye yazılımları, saldırıya uğrayan dosyaların şifreli kopyalarını oluşturduktan sonra orijinal kopyaları siliyor. Bu davranış şifrelenmiş dosyaların depolama cihazlarındaki farklı mantıksal bölümlerde saklanmasına neden olduğundan, kurbanlara serbest bırakılan mantıksal bölümlerdeki silinmiş bazı verileri kurtarma şansı vermekte.

Yazılımın şifrelemesinin açık anahtarlı şifreleme tekniğini kullandığı belirtilmiş. Genel şifreleme anahtarı fidye yazılımı programına yerleştiriliyor, yani dosyaları şifrelemek için saldırganın komuta kontrol sunucusuna erişimine gerek kalmıyor. Bu durum yalnızca Exchange hizmetleri için internet erişimine izin verilecek şekilde ayarlanmış Exchange sunucuların da şifrelenmesine neden oluyor. Saldırganın elindeki şifre çözme anahtarı olmadan dosyaların şifresini çözmek mümkün değil denilmiş.

Sophos Mühendislik Teknolojisi Birim Direktörü Mark Loman’ın verdiği bilgiye bakılırsa, DearCry yeni duyurulan Exchange açıklarının kullanılmasıyla gerçekleştirilecek potansiyel saldırıların bir öncüsü niteliğinde. Sistem yöneticilerinin ve güvenlik uzmanlarının, Microsoft Exchange açıklarının kötüye kullanılmasını önlemek amacıyla Microsoft‘un yayınladığı yamaları bir an önce yüklemek için adım atması hayati önem taşıyor. Bunun mümkün olmaması durumunda sunucunun internet bağlantısının kesilmesi veya tehdit müdahale ekipleri tarafından yakından izlenmesi önerilmiş.

Bunların yanı sıra, raporda yamalama faaliyetinin tek başına işe yaramadığının da altı önemle çizilmekte. Bir saldırdanın güvenlik açıklarından çoktan faydalanmış olabilme ihtimaline karşın, saldırı ve ihlale dair işaretlerin de sistemlerde araştırılması tavsiye ediliyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.