İçindekiler

1. Exchange Server ProxyLogon (CVE-2021-26855 + 26857 + 26858 + 27065)
2. Exchange Server Test-ProxyLogon.ps1 ile Hızlı Tespit
   1. Exchange Server HAFNIUM Script indir ve Kullanım
3. HAFNIUM BackendCookie Check
   1. Exchange Server BackendCookieMitigation İndirme
   2. Exchange Server BackendCookieMitigation Kullanımı
   3. Exchange Server BackendCookieMitigation Geri Alma Adımı

Exchange Server’daki **HAFNIUM / ProxyLogon** zafiyeti, kimlik doğrulamayı atlayıp uzaktan kod çalıştırmaya izin veriyor. Aşağıdaki adımlarla ortamınızı hızla tarayabilir ve geçici koruma sağlayabilirsiniz.

• Exchange Server ProxyLogon (CVE-2021-26855 + 26857 + 26858 + 27065)
• Exchange Server Test-ProxyLogon.ps1 ile Hızlı Tespit
  • Exchange Server HAFNIUM Script indir ve Kullanım
• HAFNIUM BackendCookie Check
  • Exchange Server BackendCookieMitigation İndirme
  • Exchange Server BackendCookieMitigation Kullanımı
  • Exchange Server BackendCookieMitigation Geri Alma Adımı

Exchange Server ProxyLogon (CVE-2021-26855 + 26857 + 26858 + 27065)

• * Etki alanı   : Exchange 2013 – 2019
• * Saldırı vektörü : SSRF → RCE
• * APT grubu       : **HAFNIUM**
• * Özet            : Kötü amaçlı X-AnonResource-Backend ve X-BEResource başlıklarıyla iç yapıya sızma

Exchange Server Test-ProxyLogon.ps1 ile Hızlı Tespit

Exchange Server HAFNIUM Script indir ve Kullanım

Invoke-WebRequest `
  -Uri "https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1" `
  -OutFile ".\Test-ProxyLogon.ps1"
  Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath "$HOME\Desktop\logs"

Betik, tarama tamamlandığında logs klasörüne ayrıntılı bir rapor üretir.

Şüpheli etkinlik tespit edilirse olay günlüklerini inceleyip gerekli önlemleri almalısınız.

Exchange Management Shell üzerinde gördüğünüz gibi şüpheli aktiviteler bulunuyor, bu aktiviteler detaylı incelenip düzenleme sağlanılması gerekmektedir.

HAFNIUM BackendCookie Check

BackendCookieMitigation.ps1** betiği, kötü amaçlı **X-AnonResource-Backend** ve hatalı biçimlendirilmiş **X-BEResource** çerezlerini içeren HTTPS isteklerini filtreleyerek potansiyel **SSRF** saldırılarına karşı ek bir savunma katmanı sağlar.

İlgili CVE’ler: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065** Betik, IIS için **URL Rewrite** modülünü gerektirir. Yüklü değilse önce Microsoft URL Rewrite bileşenini kurun.

Exchange Server BackendCookieMitigation İndirme

Invoke-WebRequest `
  -Uri "https://github.com/microsoft/CSS-Exchange/releases/latest/download/BackendCookieMitigation.ps1" `
  -OutFile ".\BackendCookieMitigation.ps1"

Exchange Server BackendCookieMitigation Kullanımı

.\BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -Verbose

Exchange Server BackendCookieMitigation Geri Alma Adımı

.\BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -RollbackMitigation -Verbose

Betik çalıştığında IIS’e URL Rewrite kuralı ekler ve gelen istekleri filtreler.

Raporlar Verbose çıktısında görüntülenir. Değişiklikleri geri almak için

-RollbackMitigation parametresini kullanmanız yeterlidir.

Sonuç

• • Tüm Exchange sunucularınızı tarayın ve raporları inceleyin.
• • Kümülatif güncellemeleri gecikmeden uygulayın.
• • Güvenlik günlüklerini merkezi SIEM’e göndererek olası saldırıları erken tespit edin.
• • Gereksiz yetkileri kaldırarak en az yetki prensibini koruyun.

Sorularınız veya geri bildirimleriniz için yorumlarda buluşalım. Güvende kalın!