Kaspersky mütəxəssisləri çətin aşkarlanan *SessionManager sistem boşluğunu (backdoor) aşkara çıxarıb. Onun vasitəsilə korporativ İT infrastrukturuna daxil olmaq və geniş spektrli zərərli fəaliyyətlər həyata keçirmək mümkündür: korporativ məktubları oxumaq, zərərli proqramları yaymaq və yoluxmuş serverləri uzaqdan idarə etmək.
Təcavüzkarlar zərərli proqramı sistemə uzaqdan, özündə Exchange poçt serverini ehtiva edən veb-xidmətlər dəsti olan Microsoft IIS üçün modul şəklində yeridirlər. Şirkətin istənilən əməkdaşı Microsoft korporativ poçtundan istifadə edərkən bu serverin fəaliyyəti ilə üzləşir. Təcavüzkarlar SessionManager və digər zərərli IIS modullarını yaymaq üçün ProxyLogon sistem boşluğundan istifadə edirlər.
Kaspersky-nin məlumatına görə, SessionManager-dən istifadə ilə həyata keçirilən ilk hücumlar 2021-ci ilin mart ayının sonunda qeydə alınıb. Qurbanlar əsasən Afrika, Cənubi Asiya, Avropa və Yaxın Şərqdəki dövlət qurumları və qeyri-kommersiya təşkilatları olub. Bu “backdoor” indiyədək 24 şirkətdə 34 serverdə aşkarlanıb. SessionManager əksər hallarda diqqətdən kənarda qalır, çünki o, ən populyar onlayn skanerlər tərəfindən çətinliklə aşkar edilir.
Kaspersky məhsulları SessionManager-i uğurla aşkar edir və bu boşluq vasitəsilə edilə biləcək gələcək kiberhücumları dəf etməyə kömək edir.
“2021-ci ilin əvvəlində ictimaiyyətə məlum Microsoft Exchange serverindəki ProxyLogon sistem boşluğu təcavüzkarlara aktiv istifadə etdikləri hücumlar üçün, o cümlədən, IIS veb server modulları şəklində “backdoor”-ları yükləmək üçün yeni imkanlar açıb. Bu tip zərərli proqramlardan biri olan SessionManager-in köməyi ilə təcavüzkarlar korporativ İT infrastrukturuna yeniləməyə qarşı davamlı, uzunmüddətli və uğurla gizli giriş əldə edirlər”, – deyə Kaspersky-nin aparıcı kibertəhlükəsizlik eksperti Denis Legezo bildirir.
Bu cür zərərli proqramlar haqqında daha çox öyrənmək üçün Securelist-i oxuyun. Şirkətləri bu cür hücumlardan qorumaq üçün isə Kaspersky tövsiyə edir:
- dəstə daxil olan alətlərdən istifadə edərək, IIS serverlərində (xüsusilə poçt qutusu serverlərində) yüklənmiş IIS modullarını mütəmadi olaraq yoxlayın. Microsoft serverlərində böyük boşluq haqqında xəbərlər çıxanda onları hər dəfə yoxlamağı unutmayın;
- özündə aşkar edilmiş boşluqların aradan qaldırılması funksiyasını ehtiva etdiyi üçün istifadə olunan proqram təminatının yeniləmələrini müntəzəm və operativ şəkildə quraşdırın. Microsoft 2021-ci ilin martında ProxyLogon boşluğunu aradan qaldırmaq üçün təhlükəsizlik yeniləməsini təqdim edib;
- təhlükəsizlik strategiyanızı şəbəkə boyunca yerdəyişmə hərəkətlərinin tapılmasına və məlumatların İnternetə ötürülməsinə yönəldin. Zərərli əlaqələri vaxtında aşkar etmək üçün çıxış trafikinə xüsusi diqqət yetirin. Məlumatlarınızın müntəzəm olaraq ehtiyat surətini çıxarın. Lazım gələrsə, onlara dərhal daxil ola bildiyinizə əmin olun;
- təcavüzkarlar məqsədlərinə çatmazdan əvvəl hücumu erkən mərhələdə tanımağa və dayandırmağa kömək edən Kaspersky Endpoint Detection and Response və Kaspersky Managed Detection and Response təhlükəsizlik həllərindən istifadə edin;
- Biznes üçün Kaspersky Endpoint Security kimi eksploytların qarşısının alınması, şübhəli davranışların aşkarlanması və zərərli fəaliyyətlərin önlənməsi funksiyalarına malik etibarlı təhlükəsizlik həllindən istifadə edin. Məhsul, həmçinin, onun təcavüzkarlar tərəfindən sistemdən silinməsi imkanını istisna edən özünümüdafiə mexanizmlərinə malikdir.
* Yoluxmuş kompüterin təcavüzkar tərəfindən uzaqdan gizlin şəkildə idarə edilməsi üçün nəzərdə tutulmuş zərərli proqram.