Exchange Server Download Domain CVE-2021-1730 Yapılandırılması

Ortamınızdaki Exchange Server altyapısını güvenli ve işlevsel tutmak için, düzenli Windows güncellemeleri ve Exchange Server‘a özel Güvenlik Güncelleştirmeleri (SU) ve Toplu Güncelleştirmeleri (CU) uygulamak kritik öneme sahiptir.

Exchange Server Mart 2024 Security Update Yayımlandı! – Cengiz YILMAZ | Sys Blog

Exchange Server CVE-2021-1730

Bu güncellemeler, potansiyel güvenlik açıklarını kapatmak ve sisteminizi en son yazılım standartlarıyla uyumlu tutmak için gereklidir.

Daha önceki yazılarımızda Exchange Server için Sağlık Kontrolü (HealthCheck) işlevinin öneminden bahsetmiştik. Bu aracı, yeni bir Veritabanı Kullanılabilirlik Grubu (DAG) eklerken veya düzenli aralıklarla Exchange Server’ın genel sağlık durumunu değerlendirmek için kullanabiliriz.

Özellikle CVE-2021-1730 gibi güvenlik açıklarının ortaya çıkışı, güncellemelerin önemini daha da belirgin hale getirmektedir. Sağlık Kontrolü raporları, güncellemelerin tam olarak uygulanıp uygulanmadığını kontrol etmenizi sağlar ve CVE-2021-1730 gibi zafiyetlere karşı korunup korunmadığınızı gösterir.

Healt Check işlemi yaptığınızda Download Domains zafiyeti için aşağıdaki gibi bir uyarı görüntüleyebilirsiniz.

“Download Domains are not configured. You should configure them to ve protected against CVE-2021-1730. Configured instructions: https://aka.ms/HC-DownloadDomains

CVE-2021-1730, Exchange Server'da ciddi bir güvenlik zaafiyetidir ve saldırganların kullanıcıların kimliğine bürünerek yetkisiz işlemler yapmasına olanak sağlar. Bu zaafiyetin etkisi, özellikle Outlook Web Access (OWA) üzerinden daha belirgindir ve bu nedenle güvenlik önlemlerinin ve test işlemlerinin OWA üzerinden yapılması gerekmektedir. Eğer yapılandırma doğru şekilde yapılmazsa, kullanıcılar OWA arayüzü üzerinden görsel içerikleri görüntüleyemez hale gelir.

Exchange Server CVE-2021-1730 Download Domain Yapılandırılması

Güvenlik açığını gidermek için ilk adım olarak yerel DNS yöneticinizde düzeltme yapılması gereklidir. Benim durumumda, yerel DNS’imde PifPoint DNS kullanıldığı için ‘mail.complianceoncloud.com‘ (zone) içerisinde gerekli ayarlamaları yapacağım. Bu süreçte, gereken DNS kaydı olarak bir CNAME kaydı eklememiz gerekecektir. Bu, saldırganların CVE-2021-1730 zafiyetini kullanarak zararlı faaliyetlerde bulunmasını önlemek için kritik bir adımdır.

İlk adım olarak mail.complianceoncloud.com içerisinde Download.mail.complianceoncloud.com kaydını oluşturuyorum.

Sizin de oluşturmanız gereken CNAME kaydı mevcut FQDN üzerinde Download adını ekleyerek olması gerekmektedir.

NAMETYPEVALUE
Download.MailCNAMEMail.Contoso.com
Not: Bu işlemi yapmadan önce SSL sertifikanız üzerinde “download.mail.contoso.com” adresinin ekli olması gerektiğini göz önünde bulundurmanız gerekmektedir. Wildcard sertifikalar sadece tek bir isim çözdüğü için multidomains wildcard sertifika kullanmanız gerekmektedir.

Buraya kadar Download Domains zafiyetinden ve CNAME kaydı eklemesinden bahsettik, şimdi Exchange Server üzerinde VDIR eklemesi yapmamız gerekmektedir, OWA üzerinde secondary VDIR eklemesi yapmamız gerekiyor.
Set-OwaVirtualDirectory -Identity "EXC1\owa (Default Web Site)" -InternalDownloadHostName "download.mail.complianceoncloud.com" -ExternalDownloadHostName "download.mail.complianceoncloud.com"

Download Domains için gerekli olan VDIR ekleme işlemini gerçekleştirdik, şimdi yaptığımız işlemlerin doğruluğunu kontrol etmek için aşağıdaki komut satırını çalıştırabiliriz.

Get-OwaVirtualDirectory | ft Identity,*DownloadHostName

CNAME ve VDIR ekleme işlemlerini tamamladıktan sonra, organizasyon genelinde Download Domains özelliğini etkinleştirmemiz gerekmektedir. Bu özellikle için “Set-OrganizationConfig” komutunu kullanmamız gerekiyor.Bu ayar, Exchange Server’ın CVE-2021-1730 gibi belirli güvenlik zaafiyetlerine karşı daha iyi korunmasını sağlar.

Bu komut, indirme alanlarının yönetilmesini ve güvenlik açısından kritik olan verilerin korunmasını kolaylaştırarak, kuruluşunuzu zararlı içeriklere karşı korur. Bu komutu çalıştırmak, Exchange Server’ınızı daha güvenli hale getirir ve potansiyel saldırılara karşı ek bir koruma katmanı ekler.

Set-OrganizationConfig -EnableDownloadDomains $true

Daha sonra Exchange Sunucularınız restart edebilir veya IISRESET işlemi gerçekleştirmeniz gerekmektedir.

Yapmış olduğunuz işlemi sadece OWA üzerinden kontrol etmeniz gerekmektedir, OWA üzerinde satır içi görsellerin “download.mail.complianceoncloud.com” adresinden gelmesi gerekmektedir.

Öncelikle OWA üzerinde oturum açmamız gerekiyor ve satır içi görsel olan maili kontrol etmemiz gerekiyor. Daha Sonra F12 tuşu ile Inspector penceresinde “download” URL adresini görmemiz gerekmektedir.


Exchange Server Mart 2024 güncelleştirmesi ile beraber yaşanılan bir sorun Download Domains özelliği etkinleştirilmiş olan organizasyonlar da OWA’da satır içi görseller gözükmüyor. Microsoft tarafından bildirilen geçiçi çözümler uygulanması gerekmektedir.

Exchange Server Download Domains Özelliğini Devre Dışı bırakma

Exchange Server Download Domains Özelliğini Devre dışı bırakmak için Exchange Management Shell üzerinden aşağıdaki komut satrını çalıştırmamız yeterli.

Exchange Server OWA Download Domains Kapatma – Cengiz YILMAZ

Set-OrganizationConfig -EnableDownloadDomains $false

2- Tüm kullanıcılarınız OWA yerine Microsoft Outlook masaüstü uygulamasını kullanmasını gerekmektedir.

Yorum yapın