Uygulanan bir denetleme sırasında, bir milyondan fazla GoDaddy kullanıcısının e-posta adresleri, müşteri numaraları ve parolaları dahil olmak üzere, müşteri bilgilerinin bir veri ihlaline maruz kaldığını ortaya çıktı.
Web hosting şirketinin bildirimine göre ihlal, bloglar ve web siteleri tarafından kullanılan web tabanlı bir içerik yönetim sistemi olan WordPress kullanıcılarını etkiledi. Sistemler ilk olarak 6 Eylül tarihinde bir saldırganın erişim elde etmek için çalınan bir parolayı kullanmasıyla ele geçirildi. Ancak bu ihlal 17 Kasım’a kadar keşfedilmedi.
GoDaddy, 1.2 milyon aktif ve aktif olmayan WordPress müşterisinin e-posta adreslerinin, müşteri hesap numaralarının, hesap kurulum işlemi sırasında oluşturulan orijinal WordPress yönetici parolalarının, sFTP kullanıcı adları ve parolalarının, veritabanı kullanıcı adları ve parolalarının ve bazı müşterilerin SSL özel anahtarının açığa çıktığını söyledi.
GoDaddy, WordPress yönetici bilgileri ve sFTP bilgilerinin sıfırlandığını belirtirken, SSL özel anahtarları açığa çıkan müşterileri için yeni sertifikalar üretme ve yükleme sürecinde olduğunu söyledi. GoDaddy, soruşturmasının devam ettiğini ve etkilenen müşterilere ulaştığını söyledi. Müşteriler ayrıca şirkete doğrudan çevrimiçi yardım merkezi aracılığıyla da ulaşabilirler.
Microsoft, Exchange ve Excel’i Etkileyen Güvenlik Açıklarını Yamaladı
Microsoft, Kasım 2021 tarihinde iki tanesi zero-day olan 55 adet güvenlik açığını yamaladığını açıkladı. Zero-day açıklarından biri olan CVE-2021-42321 kodlu zafiyetin Microsoft Exchange Server 2016 ve 2019 sürümlerinde uzaktan kod çalıştırmaya (RCE) olanak sağlandığı anlaşıldı. Tenable’da çalışan Satnam Narang, zafiyetin tetiklenebilmesi için kimlik doğrulaması yapılması gerektiğini ve bu yüzden saldırının kısıtlı bir etki alanını kapsadığını belirtti. Exchange ekibi tarafından yayınlanan bir blog gönderisinde, Microsoft Exchange için sağlanan güncellemelerin acilen yüklenmesini tavsiye ediyor.
Microsoft Güvenlik Tehdit ve İstihbarat Merkezi (MSTIC) tarafından keşfedilen diğer bir zero-day açığı olan CVE-2021-42292 kodlu zafiyet ile zararlı kod çalıştırabildiği ve Microsoft Excel’in güvenlik özelliklerinin atlatılabildiği anlaşıldı. Ayrıca zafiyetin Mac kullanıcılarını da etkilediği belirtildi. Diğer bir yandan bu zafiyetin MAC sürümü için bir yama bulunmuyor.
Yayınlanan yamalarda dikkat çeken diğer zaafiyetler:
- CVE-2021-38666, RDP üzerinde RCE zafiyetinden yararlanmaya izin veriyor.
- CVE-2021-42298, Microsoft Defender yazılımında bir RCE zafiyetinden yararlanmaya izin veriyor.
- CVE-2021-26443, Microsoft Virtual Machine Bus servisinde RCE zafiyetinden yararlanmaya izin veriyor.
Windows Sistemlerde Dosya Okuma Zafiyeti
Windows sistemlerde bilgi ifşası ve yerel yetki yükseltmeye izin veren bir güvenlik zafiyeti keşfedildi. Zafiyet başarılı bir şekilde uygulandığında dosya okumaya izin veriyor. CVE-2021-24084 kodu atanan zafiyetin CVSS skoru 5.5 olarak belirlendi.
Windows mobil cihaz yönetimi bileşeninden kaynaklanan zafiyetin dosya sistemine yetkisiz erişim sağladığı ve istenilen dosyaların okunmasına yol açtığı biliniyordu. Fakat güvenlik araştırmacısı Abdelhamid Naceri Kasım ayında bu zafiyetin yerel yetki yükseltme için de kullanılabildiğini keşfetti. Böylece yönetici haklarına sahip olmayan Windows kullanıcıları, izinleri olmasa bile istedikleri dosyaları okuma hakkına sahip olabiliyor. Zafiyet HiveNightmare / SeriousSAM zafiyeti ile benzerlik gösteriyor. Zafiyetin kullanılabilmesi için C sürücüsünde sistem koruma özelliği aktif durumdayken ve en az bir Administrator hesabı bulunması gerekiyor.
Microsoft, 2021 Nisan ayında sorunun çözüleceğini bildirse de, güncelleme gerçekleşmedi. Bu zafiyet Microsoft tarafından yayınlanan eksik yamanın sonucu olarak ortaya çıktığı belirtiliyor. Windows sunucular ve Windows 11 bu zafiyetten etkilenmiyor. Windows 10 sistemlerde zafiyetten etkilenen sürümler ise aşağıdaki gibi sıralanıyor.
- Windows 10 v20H2 (32 & 64 bit) Kasım 2021 Güncellemesi ile güncellendi
- Windows 10 v21H1 (32 & 64 bit) Kasım 2021 Güncellemesi ile güncellendi
- Windows 10 v2004 (32 & 64 bit) Kasım 2021 Güncellemesi ile güncellendi
- Windows 10 v1909 (32 & 64 bit) Kasım 2021 Güncellemesi ile güncellendi
- Windows 10 v1903 (32 & 64 bit) Kasım 2021 Güncellemesi ile güncellendi
- Windows 10 v1809 (32 & 64 bit) Mayıs 2021 Güncellemesi ile güncellendi
Exchange Sunucularında Bulunan RCE Zafiyetinin POC Kodu Yayınlandı
21 Kasım Pazar günü bir güvenlik araştırmacısı tarafından CVE-2021-42321 olarak adlandırılan ve Microsoft Exchange Sunucuları üzerinde bulunan bir güvenlik zafiyetinin sömürülme yöntemi yayınlandı.
CVE-2021-42321 olarak adlandırılan bu zafiyet, cmdlet argümanlarının uygunsuz bir şekilde doğrulanması sonucu meydana gelen ve kritik etkiye sahip bir uzaktan kod yürütme zafiyeti olduğu belirtildi. Zafiyetten etkilenen sistemler Exchange Server 2016 ve Exchange Server 2019 olarak sıralanıyor.
Microsoft, bu zafiyeti yalnızca kimliği doğrulanmış saldırganlar kullanabilir açıklamasını yapıyor. Daha sonra yayınlanan bir güncellemeyle zafiyeti giderilebiliyor. Aynı zamanda “Exchange 2016 ve 2019 üzerinde bulunan güvenlik zafiyetini kullanarak yapılan saldırıların farkındayız. Sistemlerinizi korumak için acilen güncellemeleri yapmanızı öneriyoruz. Bu zafiyet, müşteriler tarafından Exchange Hybrid Modda kullanılanlar dahil On Premise Microsoft Exchange Sunucuları etkiliyor. Exchange Online müşterileri zaten korunuyor oldukları için herhangi bir aksiyon almaları gerekmiyor” şeklinde açıklama yapıldı. .
Aynı kaynağın S.S.S. kısmında paylaşılan bilgiye göre yama yapmamış kullanıcılar aşağıdaki PowerShell komutu ile herhangi bir saldırının yaşanıp yaşanmadığını kontrol edebilirler.
Get-WinEvent -FilterHashtable @{ LogName=’Application’; ProviderName=’MSExchange Common’; Level=2} | Where-Object {$_.Message -like “*BinaryFormatter.Deserialize*”}