Exchange Server Client Access Server Information Disclosure

Kuruluşunuz için Microsoft Exchange Server yönetimi yapıyorsanız Microsoft tarafından yayımlanan düzenli güncellemeleri güvenliğiniz için vakit kaybetmeden yapmanız gerekmektedir. Büyük kuruluşlar genellikle kendi içlerinde Nessus taraması yaparak sistem güvenliğini bir nebze artırmaktadır ve Nessus tarafından 77026 ID ile bulunan “Client Access Server Information” açığı WAN taramasında gözükmektedir.

“Client Access Server Information” açığı CAS sunucusunun bilgilerinin sızdırılmasına sebebiyet vermektedir. Bu işlem için herhangi bir yama olmadığı için WAF veya IIS ReWrite üzerinden kural oluşturulması gerekmektedir.

Kimliği doğrulanmamış uzak bir kullanıcı, sunucunun iç IP adresini öğrenmek için bu güvenlik açığından yararlanmaktadır. Saldırgan, üstbilgi yanıtında temel alınan sistemin iç IP Adreslerini açığa çıkaracak boş bir ana bilgisayar üstbilgisiyle Web Sunucusu’na hazırlanmış bir GET isteği gönderebiliyor.

Ortamınız da WAF yoksa ilgili kuralı URL Rewrite kullanarak oluşturabilirsiniz.

Win + Run – inetmgr (IIS) açmamız gerekiyor ve URL Rewrite modülünü açıyoruz. Oluşturacağımız bu kural Header bilgisi olmayan bir istek ile karşılaşıldığında bağlantıyı sıfırlamaktadır.

Sağ tarafta bulunan Actions sekmesinde Add Rule(s) – Request Blocking adımlarını takip ederek kural ekleme işlemine devam ediyoruz.

Block Request Blocking Rule: Host Header

Block Request that: Does Not Match the Pattern

Pattern: “.+”

Using: Regular Expressions

How to block: Abort Request

Kural ekleme işlemi tamamlandığında, URL Rewrite ekranında eklediğimiz kural aşağıdaki gibi gözükmektedir.

Yorum yapın