Microsoft'un güvenlik yaması başarısız oldu: ABD'nin nükleer silah ajansı da tehlikede
- Microsoft’un bu ay yayımladığı bir güvenlik yaması, SharePoint sunucu yazılımındaki kritik bir açığı tam olarak kapatmayı başaramadı. Bloomberg’in haberine göre, ABD’nin nükleer silahlarının tasarım ve idamesinden sorumlu Ulusal Nükleer Güvenlik İdaresi de saldırıdan etkilenen kurumlar arasında.
Microsoft’un bu ay yayımladığı bir güvenlik yaması, SharePoint sunucu yazılımındaki kritik bir açığı tam olarak kapatmayı başaramadı. Reuters'ın haberine göre, bu başarısızlık, dünya genelinde büyüyen bir siber casusluk operasyonuna zemin hazırladı.
Salı günü Microsoft sözcüsü, söz konusu açığın mayıs ayında bir hacker yarışmasında tespit edildiğini ve yayımlanan ilk yamanın işe yaramadığını doğruladı. Ancak daha sonra yayımlanan yamaların sorunu çözdüğünü savundu.
Saldırının arkasında kimin olduğu hala netlik kazanmazken, hafta sonu boyunca yaklaşık 100 kurumu hedef alan bu casusluk kampanyasının daha da yayılmasından endişe ediliyor.
Microsoft’un blog gönderisine göre, “Linen Typhoon” ve “Violet Typhoon” isimleriyle bilinen iki Çin bağlantılı hacker grubu ile yine Çin merkezli üçüncü bir grubun bu açığı kullandığı belirtildi. Microsoft ve Google da siber saldırıların ilk dalgasının muhtemelen Çin destekli aktörler tarafından gerçekleştirildiğini bildirdi.
Nükleer silahları yöneten kurum da hedefte
Bloomberg’in haberine göre, ABD’nin nükleer silahlarının tasarım ve idamesinden sorumlu Ulusal Nükleer Güvenlik İdaresi (NNSA) de saldırıdan etkilenen kurumlar arasında. Haberde, herhangi bir hassas ya da gizli bilginin ele geçirildiğine dair bir bulgu bulunmadığı aktarıldı.
Konuyla ilgili olarak ABD Enerji Bakanlığı, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Microsoft, Reuters’ın yorum taleplerine yanıt vermedi.
Pekin'den inkar geldi
Çin hükümeti destekli ajanlar sıklıkla siber saldırılarda suçlanıyor olsa da, Pekin bu tür faaliyetleri sistematik olarak reddediyor. Çin'in Washington Büyükelçiliği tarafından gönderilen e-posta açıklamasında, Çin’in her türlü siber saldırıya karşı olduğu ve “kanıt olmadan başkalarını karalamanın” kabul edilemez olduğu belirtildi.
Tehlikenin kaynağı Berlin’deki yarışmada ortaya çıktı
Söz konusu güvenlik açığı, Mayıs ayında Berlin’de Trend Micro tarafından düzenlenen bir hacker yarışmasında ortaya çıkarıldı. Etkinlikte, popüler yazılımlardaki sıfır gün açıklarını (önceden bilinmeyen güvenlik açıkları) tespit edenlere 100 bin dolar ödül teklif edildi. Bu açık, Microsoft’un belge yönetim platformu SharePoint’i hedef alıyordu.
Vietnam ordusuna bağlı telekom şirketi Viettel’in siber güvenlik kolundan bir araştırmacı, SharePoint’teki bu açığı buldu, “ToolShell” adını verdi ve nasıl kullanılabileceğini gösterdi. Araştırmacı, bu başarısı sayesinde 100 bin dolarlık ödülün sahibi oldu.
Trend Micro, yarışmaya katılan yazılım üreticilerinin güvenlik açıklarını “etkili ve zamanında” şekilde yamalamakla yükümlü olduğunu belirtti. “Yamalar bazen başarısız olabilir,” açıklamasını da ekledi. “Bu, SharePoint’te daha önce de yaşandı.”
Microsoft’un yaması işe yaramadı, saldırılar başladı
Microsoft, 8 Temmuz’da yayımladığı güvenlik güncellemesinde bu açığı tanımlayıp “kritik” olarak sınıflandırdı ve yama yayımladı. Ancak yaklaşık 10 gün sonra siber güvenlik firmaları, SharePoint sunucularına yönelik şüpheli aktivitelerde artış gözlemledi.
İngiliz siber güvenlik firması Sophos, pazartesi günü yayımladığı blog yazısında, “Siber saldırganlar, bu yamaları atlatan istismar yöntemleri geliştirdi” ifadelerini kullandı.
Hedefte 9 binden fazla sunucu olabilir
Shodan adlı arama motorunun verilerine göre, bu açıklıktan etkilenebilecek sunucu sayısı 8 binin üzerinde. Shadowserver Foundation ise sayıyı 9 binin biraz üzerinde olarak belirledi. Bu sayıların minimum seviyede olduğu, gerçek sayının çok daha yüksek olabileceği belirtiliyor.
Hedef alınabilecek sistemler arasında denetim firmaları, bankalar, sağlık kuruluşları, büyük sanayi şirketleri ve ABD başta olmak üzere birçok ülkenin yerel ve uluslararası kamu kurumları yer alıyor.
Almanya Federal Bilgi Güvenliği Dairesi (BSI), Salı günü yaptığı açıklamada, hükümete ait SharePoint sunucularında herhangi bir ihlal tespit edilmediğini ancak bazı sistemlerin ToolShell açığına karşı savunmasız olduğunu bildirdi.
