Hafnium Microsoft Exchange Zero Days, Yönetici Erişimini Kritik Bir Saldırı Yüzeyi Olarak Açığa Çıkarıyor
Mart 11th, 2021 Yiftah Keshet
Microsoft yakın zamanda Microsoft Exchange Server'daki dört sıfır gün güvenlik açığının Hafnium saldırı grubu tarafından aktif olarak istismar edildiğini açıkladı. Bu güvenlik açıklarından üçü bir güvenlik açığıyla birlikte çalıştırılabilir. kimlik doğrulama güvenlik açığını atlayarak veya güvenliği ihlal edilmiş kimlik bilgileriyle yönetici izinleri alarak. Bu, yönetici erişiminin kritik bir önem taşıdığını bir kez daha vurgulamaktadır saldırı yüzeyi bu yakından korunmalıdır.
Microsoft, bu güvenlik açıklarının giderildiği bir güvenlik güncelleştirmesi yayımladı. Bu, açık ara en etkili koruma yöntemidir ve onu en kısa zamanda kurmanızı tavsiye ederiz. Ek olarak, çeşitli güvenlik sağlayıcıları, müşterilerinin bu güvenlik açıklarından kendi ortamlarında yararlanılıp yararlanılmadığını tespit etmeleri için IOC yayınladı.
Ancak bu, hiçbir şekilde son sıfır gün olayı veya yönetici arayüzlerini hedef alan son saldırı değildir. Ve hem güvenlik güncellemesi hem de yayınlanan IOC'ler Hafnium tehdidini azaltırken, bu saldırı yüzeyini tamamen ortadan kaldıran proaktif bir koruma yöntemine kesinlikle ihtiyaç var.
SilverfortBirleşik Kimlik koruması kimlik ve güvenlik ekiplerinin saldırganların kritik sunuculara erişmek, bunları değiştirmek veya kod çalıştırmak için güvenliği ihlal edilmiş yönetici kimlik bilgilerini kullanma becerisini önemli ölçüde azaltmasına olanak tanıyan böyle bir yöntem sağlar.
Içindekiler
Hafnium Sıfır Günlerinden Gerçek Risk Nedir?
Exchange sunucuları genellikle hassas kurumsal veriler içerir ve bu nedenle saldırganlar için yüksek değerli bir hedef olarak kabul edilir. Saldırganlar, hedef ağda bir ilk yer edindikten sonra, genellikle yönetici kimlik bilgilerinden ödün vererek ayrıcalıklı erişim elde etmeye çalışır. Talihsiz gerçek şu ki, mevcut birden fazla güvenlik çözümüne rağmen, saldırganlar genellikle bu görevde başarılı oluyor.
Bu saldırıda Hafnium, iki tür sıfır gün güvenlik açığından yararlanır:
- >Kimlik Doğrulamasını Atlama güvenlik açığı CVE-2021-26855 Saldırganın değişim sunucusu olarak kimlik doğrulaması yapmasına ve kötü amaçlı erişim elde etmesine olanak tanır.
- Kod yürütme ve dosya yazma güvenlik açıkları (CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) saldırganların kod yürütmesine ve sunucudaki herhangi bir yola dosya yazmasına olanak tanır. Saldırganın bunları kullanabilmesi için ya istismar etmesi gerekir CVE-2021-26855 veya yönetici kimlik bilgileriyle oturum açın.
Öldürme zincirinin bu bölümünde, saldırganlar meşru kimlik bilgileriyle meşru bir oturum açma gibi görünen bir işlem gerçekleştirir ve bu nedenle hiçbirinin görmeyeceği bir kör noktadır. IAM çözümlerine de diğer güvenlik çözümleri etkin bir şekilde sorun olarak tanımlayabilir.
ile Yönetici Kimlik Bilgileri için Zaman Koruması Silverfort
MFA'nın güvenliği ihlal edilmiş kimlik bilgilerinin kötü niyetli kullanımına karşı güçlü bir kontrol olduğu kanıtlanmıştır.. Kullanıcıların kimliklerini ikinci bir faktörle doğrulamasını zorunlu kılarak, saldırganların yetkisiz erişim elde etmesini önleyebilirsiniz. Sorun şu ki, bugüne kadar MFA Çözümler, erişimin yerel olarak mı yoksa uzaktan mı, RDP veya bir komut satırı uzaktan erişim aracı kullanılarak yapılmasına bakılmaksızın, Microsoft'un Exchange Sunucusu da dahil olmak üzere şirket içi sunuculara erişim arabirimlerinde uygulanamadı.
Neyse ki, Silverfort şimdi uygulayarak yönetici erişimi için bu tür bir korumayı gerçek zamanlı olarak uygulamanıza izin verir. Şirket İçi Exchange için MFA.
İdari Erişim için MFA
Politika, şunları girmenizi gerektirir:
- Kullanıcılar: Exchange Sunucusunda yönetici ayrıcalıklarına sahip tüm hesapların listesi
- Kaynak: Exchange yönetici makineleri grubunun parçası olmayan her makine
- İstenen Eylem: Bu kaynak makinelerden Exchange Sunucusuna herhangi bir erişim girişimi için MFA'nın uygulanmasını öneririz.
Hizmet Hesaplarının İzlenmesi ve Erişiminin Engellenmesi
Birçok dağıtımda, çeşitli hizmet hesapları Exchange Sunucuları için oluşturulur. Bu makineden makineye hesaplar, insan yönetici hesaplarıyla ilişkili aynı riski taşır, ancak arkalarında gerçek bir kişi olmadığı için MFA tarafından korunamazlar.
davranışından beri hizmet hesapları son derece tahmin edilebilir, Silverfort olası bir uzlaşmaya işaret edebilecek herhangi bir sapmayı tespit etmek için bunları otomatik olarak tanımlayabilir ve davranışlarını bir taban çizgisiyle karşılaştırabilir. Silverfort daha sonra şüpheli erişimi engellemek, SIEM'inize uyarılar göndermek, günlüğe yazmak veya üçünün herhangi bir kombinasyonu için herhangi bir zamanda kolayca etkinleştirilebilen ilke önerileri sağlar.
İhlal Sonrası Analiz için Görünürlük
Silverfort yönetici hesabı etkinliklerinin tam bir denetim izini ve her erişim girişiminin risk düzeyini oluşturur ve sağlar. MFA'yı zorlamamayı seçerseniz, bu görünürlük oldukça kullanışlıdır. Bu, kötü amaçlı erişim girişimini gerçek zamanlı olarak engellemeyecek olsa da, herhangi bir şüpheli oturum açma hakkında eyleme geçirilebilir içgörüler sağlamanın yanı sıra önceki kötü amaçlı etkinliğin etkili bir adli tıp analizinin yürütülmesine yardımcı olacaktır.
Sonuç
Yönetici erişimi, ağınızdaki en kritik saldırı yüzeylerinden biridir ve buna göre korunmalıdır. Ortamınızdaki hassas makinelere tüm yönetici erişiminde MFA'yı zorlamak, proaktif olarak saldırganların bu makinelere kötü amaçlı amaçlarla erişmesini önler - istismar dahil CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 Hafnium sıfır gün güvenlik açıkları. Silverfort her bir Exchange sunucusuna yazılım aracıları yüklemeden ve ağınızda proxy'ler dağıtmadan MFA'yı herhangi bir cihazda uygulamanıza olanak tanır.
Daha fazla öğrenmek için, uzmanlarımızdan biriyle bir görüşme planlayın.
