Microsoft Exchange Güvenlik Açığı Nedir? Nasıl Kontrol Edilir?

2021 yılının Mart ayının ilk haftasında Microsoft kritik olarak Exchange sunucuları hedef alan birden fazla zafiyeti duyurdu ve bu duyurudan kısa bir süre sonra halka-açık olarak istismar kodlarının yayınlandığı görüldü.

Bu zafiyetler ve CVE kodları aşağıdaki gibi:

CVE-2021-26855, Exchange’deki bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığıdır. Saldırganın rastgele HTTP istekleri göndermesine ve Exchange sunucusu olarak kimlik doğrulaması yapmasına olanak tanır.

CVE-2021-26857, Unified Messaging hizmetindeki güvenli olmayan bir deserialization güvenlik açığıdır. Bu güvenlik açığından yararlanmak, Exchange sunucusunda SYSTEM olarak çalıştırma yeteneği verdi.

CVE-2021-26858, Exchange’de kimlik doğrulama sonrası rasgele dosya yazma güvenlik açığıdır. Exchange sunucusuyla kimlik doğrulaması yapabiliyorsa, bu güvenlik açığını sunucudaki herhangi bir yola bir dosya yazmak için kullanabilir. CVE-2021-26855 SSRF güvenlik açığından yararlanarak veya meşru bir yöneticinin kimlik bilgilerini tehlikeye atarak kimlik doğrulaması yapabilirler.

CVE-2021-27065, Exchange’de kimlik doğrulama sonrası rasgele dosya yazma güvenlik açığıdır. Exchange sunucusuyla kimlik doğrulaması yapabiliyorsa, bu güvenlik açığını sunucudaki herhangi bir yola bir dosya yazmak için kullanabilir. CVE-2021-26855 SSRF güvenlik açığından yararlanarak veya meşru bir yöneticinin kimlik bilgilerini tehlikeye atarak kimlik doğrulaması yapabilirler.

Microsoft zafiyetlerin tespit edilebilmesi için nmap için bir script[1] yayınladı. Bu script ile Exchange sunucunuzun zafiyete açık olup olmadığını kontrol edebilirsiniz.

Aşağıdaki komut kullanılabilir:

sudo nmap -sV -p 443 –script http-vuln-cve2021-26855.nse IPADRESİNİZ -T4

Örnek çıktı:

En kısa sürede yayınlanan güvenlik yamasının[2] uygulanması gerektiğini hatırlatmak isteriz. Zafiyetin yayınlanmasından bu yana geçen sürede ülkemizdeki güvenlik yaması uygulanmamış Exchange sunucuların sayısının 1000’lerin üzerinde olduğunu takip etmekteyiz.

Ancak güvenlik yamasının uygulanmasından önce sunucunuz saldırıya uğramış ise yamanın zafiyeti kapatmasına rağmen sunucunuzda saldırganlar tarafından kullanılmaya devam eden bir arka-kapı bırakıldığı bilinmektedir. Bu nedenle, sunucunuzun bu zafiyetlere karşı saldırıya uğrayıp uğramadığını tespit etmek için mutlaka yine Microsoft ‘un paylaştığı powershell betiğini[3] çalıştırıp çıktıların incelenmesi gerekmektedir.

Yayınlanan istismar kodlarından birinin örneği:

** Önemli Uyarı: Halka-açık olarak bulabileceğiniz zafiyet istismar kodlarını kontrolsüz olarak çalıştırmayı denememizi öneririz.

Referanslar ve Kaynaklar:

[1]: https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/http-vuln-cve2021-26855.nse

[2]: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

[3]: https://github.com/microsoft/CSS-Exchange/blob/main/Security/src/Test-ProxyLogon.ps1

[-]: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Başa dön