Geçtiğimiz cuma günü, siber güvenlik gazetecileri Brian Krebs ve Andy Greenberg, Hafnium olarak bilinen devlet destekli Çinli bir bilgisayar korsanlığı grubundan kaynaklandığına inanılan benzeri görülmemiş bir e-posta sunucusu saldırısında 30.000 kadar kuruluşa sızıldığını bildirmişti.
Hafta sonu boyunca bu tahmin, dünya çapında saldırıya uğrayan Microsoft Exchange Server müşterisine iki katına çıkarak 60.000’e ulaştı. Avrupa Bankacılık Otoritesi de bu saldırının kurbanlardan biri olduğunu kabul etti. Görünüşe göre Microsoft’un durumun ciddiyetini fark etmesi ve gerekli yamayı çıkarması biraz uzun sürdü. Krebs, devasa Exchange Server saldırısının temel bir zaman çizelgesini oluşturdu ve Microsoft’un ocak ayı başlarında güvenlik açıklarından haberdar edildiğini doğruladığını söyledi.
Yani Microsoft saldırının kapsamını veya ölçeğini açıklamayan bir blog gönderisi ve ilk yama setini yayınlamasından yaklaşık iki ay önce bu durumdan haberdar edildi. Başlangıçta, standart Patch Tuesday olarak adlandırılan standart salı günü yama dağıtımlarından birini beklemeyi bile planlıyordu, ancak onu bir hafta erkene çekti.
Şimdi MIT Technology Review, Hafnium’un tek tehdit olmadığını bildiriyor. Cumartesi günü itibariyle Exchange Server kusurlarını aktif olarak kullanan en az beş bilgisayar korsanlığı grubu olduğunu iddia eden bir siber güvenlik analistine atıfta bulundu.
ABD Beyaz Saray basın sekreteri Jen Psaki ise bunu “aktif bir tehdit” olarak nitelendirdi. ABD İç Güvenlik Bakanlığı’nın siber güvenlik dairesinin 3 Mart’ta gönderdiği acil durum direktifine daha fazla dikkat çekti. Beyaz Saray ulusal güvenlik danışmanı Jake Sullivan’ın yanı sıra eski Siber Güvenlik ve Altyapı Güvenliği Ajansı yöneticisi Christopher Krebs ve Beyaz Saray Ulusal Güvenlik Konseyi de bu konuda uyardı.
Şu anda, yerel bir Microsoft Exchange Server (2010, 2013, 2016 veya 2019) kuran herkesin gerekli yamaları uygulaması ve güvenlik taraması yapması gerekiyor. Ne var ki, hasarın kapsamını daha yeni yeni anlamaya başlıyoruz. Saldırganların bu sunuculara geri dönmelerini sağlayan kötü amaçlı yazılımlar yükledikleri de bildirildi ve henüz ne almış olabilecekleri de bilinmiyor. Bloomberg’e göre, bir Beyaz Saray yetkilisinden gelen e-postanın bir kısmında “Etkiyi değerlendirmek ve ele almak için tüm hükümet olarak harekete geçiyoruz.” diyor.
Microsoft, yamalarının ve ifşalarının zamanlaması hakkında yorum yapmayı reddetti. Bunun yerine önceki yaptığı açıklamasını yineledi: “Müşterilerimiz için en iyi koruma, güncellemeleri etkilenen tüm sistemlere mümkün olan en kısa sürede uygulamaktır. Ek inceleme ve azaltma rehberliği sağlayarak müşterilere yardımcı olmaya devam ediyoruz. Etkilenen müşteriler, ek yardım ve kaynaklar için destek ekiplerimizle iletişime geçmelidir.”