Exchange Server’daki **HAFNIUM / ProxyLogon** zafiyeti, kimlik doğrulamayı atlayıp uzaktan kod çalıştırmaya izin veriyor. Aşağıdaki adımlarla ortamınızı hızla tarayabilir ve geçici koruma sağlayabilirsiniz.
İçindekiler
Exchange Server ProxyLogon (CVE-2021-26855 + 26857 + 26858 + 27065)
- * Etki alanı : Exchange 2013 – 2019
- * Saldırı vektörü : SSRF → RCE
- * APT grubu : **HAFNIUM**
- * Özet : Kötü amaçlı `X-AnonResource-Backend` ve `X-BEResource` başlıklarıyla iç yapıya sızma
Exchange Server Test-ProxyLogon.ps1 ile Hızlı Tespit
Exchange Server HAFNIUM Script indir ve Kullanım
Invoke-WebRequest `
-Uri "https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1" `
-OutFile ".\Test-ProxyLogon.ps1"
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath "$HOME\Desktop\logs"Betik, tarama tamamlandığında logs klasörüne ayrıntılı bir rapor üretir.
Şüpheli etkinlik tespit edilirse olay günlüklerini inceleyip gerekli önlemleri almalısınız.
Exchange Management Shell üzerinde gördüğünüz gibi şüpheli aktiviteler bulunuyor, bu aktiviteler detaylı incelenip düzenleme sağlanılması gerekmektedir.
HAFNIUM BackendCookie Check
`BackendCookieMitigation.ps1`** betiği, kötü amaçlı **X-AnonResource-Backend** ve hatalı biçimlendirilmiş **X-BEResource** çerezlerini içeren HTTPS isteklerini filtreleyerek potansiyel **SSRF** saldırılarına karşı ek bir savunma katmanı sağlar.
İlgili CVE’ler: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065** Betik, IIS için **URL Rewrite** modülünü gerektirir. Yüklü değilse önce Microsoft URL Rewrite bileşenini kurun.
Exchange Server BackendCookieMitigation İndirme
Invoke-WebRequest `
-Uri "https://github.com/microsoft/CSS-Exchange/releases/latest/download/BackendCookieMitigation.ps1" `
-OutFile ".\BackendCookieMitigation.ps1"Exchange Server BackendCookieMitigation Kullanımı
.\BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -VerboseExchange Server BackendCookieMitigation Geri Alma Adımı
.\BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -RollbackMitigation -VerboseBetik çalıştığında IIS’e URL Rewrite kuralı ekler ve gelen istekleri filtreler.
Raporlar Verbose çıktısında görüntülenir. Değişiklikleri geri almak için
-RollbackMitigation parametresini kullanmanız yeterlidir.
Sonuç
- – Tüm Exchange sunucularınızı tarayın ve raporları inceleyin.
- – Kümülatif güncellemeleri gecikmeden uygulayın.
- – Güvenlik günlüklerini merkezi SIEM’e göndererek olası saldırıları erken tespit edin.
- – Gereksiz yetkileri kaldırarak en az yetki prensibini koruyun.
Sorularınız veya geri bildirimleriniz için yorumlarda buluşalım. Güvende kalın!
