400 firma hedef oldu: Küresel Microsoft saldırısından korunmak için ne yapmalı?

[Teknoloji]

Siber güvenlik kurumları, 7 Temmuz’da başladığı bildirilen Microsoft Sharepoint saldırılarına karşı rehberler yayınladı.

Teknoloji devi Microsoft, aralarında devlet destekli bilgisayar korsanlarının da bulunduğu Çinli "tehdit aktörlerinin" SharePoint belge paylaşım yazılımı sunucularındaki güvenlik açıklarından yararlandığını ve bu hizmeti kullanan işletmelerin verilerini hedef aldığını öne sürüyor. ABD'li teknoloji şirketinin açıklamasına göre Çin devlet destekli Linen Typhoon ve Violet Typhoon ile yine Çin merkezli olduğu düşünülen Storm-2603 adlı üç grup, platformu barındıran internete bağlı sunucuları hedef almak için "yeni ortaya çıkan güvenlik açıklarını" kullandı. Şirketin yayınladığı blog yazısında, bu güvenlik açıklarının şirketler tarafından yaygın kullanılan şirket içi SharePoint sunucularında bulunduğunu, ancak bulut tabanlı hizmetinde bulunmadığı belirtildi. Birçok büyük kuruluş ve işletme, belgeleri depolamak ve iş arkadaşlarının bunlar üzerinde işbirliği yapmasını sağlamak için SharePoint'i kullanıyor. Bu hizmetin Office ve Outlook da dahil olmak üzere diğer Microsoft ürünleriyle iyi çalıştığı düşünülüyor. Microsoft, saldırıların 7 Temmuz'da başladığını bildirdi.

400 KURULUŞ HEDEF OLDU​

Güvenlik açığı, ilk olarak cuma günü Hollanda merkezli siber güvenlik firması Eye Security tarafından tespit edildi. Microsoft, saldırıda yalnızca kuruluş bünyesinde barındırılan sunucuların tehlikeye atıldığını, Microsoft 365'teki SharePoint Online'ın etkilenmediğini vurguladı. Eye Security, bilgisayar korsanlarının Sharepoint sistemlerine girdikten sonra, bu sistemlerdeki tüm içeriğe erişebilecekleri konusunda uyardı. Siber güvenlik firması, "SharePoint genellikle Outlook, Teams ve OneDrive gibi temel hizmetlere bağlandığından, bir ihlal hızla veri hırsızlığına, parola ele geçirmeye ve ağ genelinde yatay hareketlere yol açabilir" açıklamasında bulundu. "Bu, hızla gelişen, hedefli bir saldırıdır. Yama uygulanmamış SharePoint sunucularına sahip kuruluşlar düzeltme beklememeli. Hemen bir güvenlik açığı değerlendirmesi yapmalı ve uygun şekilde yanıt vermeli.” Bahsi geçen güvenlik açıkları, saldırganların kimlik doğrulama bilgilerini taklit ederek sunucularda uzaktan kötü amaçlı kod çalıştırmalarına olanak tanıyor. Microsoft, saldırganların bir SharePoint sunucusuna "anahtar materyalin çalınmasını sağlayan" bir istek gönderdiği saldırılar gözlemledi. Eye Security'nin baş bilgisayar korsanı Vaisha Bernard, Reuters'a yaptığı açıklamada, hafta sonu gerçekleşen saldırıdan yaklaşık 100 kuruluşun etkilendiğini söylemişti. Yeni güncellemeye göre bu sayı 400'e çıktı.

SALDIRIDAN NASIL KORUNMALI?​

Microsoft, SharePoint kullanan müşterilerine en son güvenlik güncellemelerini uygulamalarını ve Antimalware Tarama Arayüzü'nün etkin ve doğru şekilde çalıştığından emin olmalarını tavsiye etti. Teknoloji devi, konuyla ilgili güvenlik güncellemelerini yayınladığını ve şirket içi SharePoint sistemlerini kullanan herkesin bunları yüklemesi gerektiğini belirtiyor. Ayrıca, hacker gruplarının yama uygulanmamış, yani önlem alınmamış şirket içi SharePoint sistemlerine saldırmaya devam edeceği uyarısında bulundu. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı da müşterilerin saldırıyla ilişkili riskleri azaltmak için Antivirüs Tarama Arayüzü'nü (Antimalware Scan Interface) yapılandırmasını önerdi. Ajans ayrıca, kullanıcılardan Microsoft Defender Antivirus programını etkinleştirmelerini de istedi. Bunun yanı sıra saldırganların, erişimi sürdürmek ("kriptografik anahtarları çalmak") için ASP.NET makine anahtarlarını hedef aldığı belirtildi. Ajans, yama uygulamadan önce ve sonra bu anahtarların döndürülmesini öneriyor. Eye Security ise saldırının hedefi olduğunu fark eden müşterilere "etkilenen SharePoint sunucularını kapatmalarını", "ifşa olmuş olabilecek tüm kimlik bilgilerini ve sistem sırlarını değiştirmelerini" ve "olay müdahale ekibiyle veya güvenilir bir siber güvenlik firmasıyla iletişime geçmelerini" salık veriyor.

SALDIRININ ARKASINDAKİ GRUPLAR​

Microsoft, saldırının arkasında olduğu iddia edilen Linen Typhoon grubunun 2012'den bu yana "öncelikle hükümet, savunma, stratejik planlama ve insan haklarıyla ilgili kuruluşları hedef alarak fikri mülkiyeti çalmaya odaklandığını" söyledi. Açıklamada, Violet Typhoon'un da 2015’ten bu yana "esas olarak ABD, Avrupa ve Doğu Asya'daki eski hükümet ve askeri personel, sivil toplum kuruluşları, düşünce kuruluşları, yükseköğretim, dijital ve basılı medya, finans ve sağlık sektörlerini hedef alan casusluk faaliyetleri yürüttüğü" belirtildi. Üçüncü grup Storm-2603'ün Çin merkezli olduğuna dairse kesin bir bilgi yok. Teknoloji devi bundan "orta düzeyde emin olduklarını", ancak ancak grup ile diğer Çinli aktörler arasında bağlantı tespit etmediğini bildirdi. Ayrıca güvenlik güncellemeleri yüklenmemişse, "başka aktörlerin" de şirket içi SharePoint sistemlerini hedef alarak güvenlik açıklarından yararlanabileceği konusunda uyardı.