Exchange Server Download Domain CVE-2021-1730
Ortamınızda bulunan Exchange Server yapısını güvende tutmak ve sağlıklı bir şekilde çalıştırmak için Windows güncellemelerini ve Exchange Server için yayımlanan SU ve CU yamalarını düzenli bir şekilde geçmemiz gerekmektedir.
Daha önce Exchange Server için HealtCheck konusundan bahsetmiştik, yeni bir DAG eklerken veya aylık olarak Exchange Server sağlığını kontrol etmek istediğimiz zaman HealthCheck kullanabiliriz.
Aslında CVE-2021-1730’da tam olarak burada çıkıyor, tüm updatelerin yapıldığı bir ortamda CVE-2021-1730 zafiyetini HealtCheck raporu üzerinden görebilimektesiniz.
“Download Domains are not configured. You should configure them to ve protected against CVE-2021-1730. Configured instructions: https://aka.ms/HC-DownloadDomains
CVE-2021-1730 Exchange Server
CVE-2021-1730 Zaafiyeti, Exchange Server için saldırganların kullanıcıların kimliğine bürünmesine olanak tanımaktadır.
“Bu zaafiyet için yapmış olduğumuz işlem sadece OWA’yı etkilemektedir. Test işlemi gerçekleştirirken OWA üzerinden test yapmanız gerekmektedir.” Yapılandırmayı yanlış yaparsanız kullanıcılar OWA üzerinden görsel görüntüleme işlemi yapamazlar.
Öncelikle Local DNS Manager‘de işlem yapmamız gerekiyor.
Benim Local DNS’imde PifPoint DNS bulunduğu için mail.cengizyilmaz.net zone içerisinde bu işlemi gerçekleştireceğim. Eklememiz gereken kayıt CNAME olacaktır.
| NAME | TYPE | VALUE |
|---|---|---|
| Download.Mail.Contoso.com | CNAME | Mail.Contoso.com |
Bu işlemden sonra aynı şekilde External DNS Panelinizde bir CNAME kaydı daha oluşturmanız gerekmektedir. Oradaki kayıt ise aşağıdaki gibi olması gerekiyor.
| NAME | TYPE | VALUE |
|---|---|---|
| Download.Mail | CNAME | Mail.Contoso.com |
Bu işlemlerden sonra Exchange Server üzerinde kullanmış olduğunuz SSL sertifikasına “download.mail.contoso.com” eklemesini yapmanız gerekmektedir, SSL sertifikasına bu eklemeyi yapmazsanız yapılandırma stabil olmadığı için OWA üzerindeki görseller gözükmeyecektir.
Not: *.domain.com Joker sertifika kullanıyorsanız eğer herhangi bir değişiklik yapmanız gerekmemektedir.
DNS ve Sertifika yapılandırmalarından sonra VDIR eklemesi yapmamız gerekiyor. VDIR Internal ve External olarak ayrı ayrı ikincil adres olarak ekleyeceğiz.
Set-OwaVirtualDirectory -Identity "owa (default Web site)" -ExternalDownloadHostName “download.domain.contoso.com"
Set-OwaVirtualDirectory -Identity "owa (default Web site)"-InternalDownloadHostName "download.domain.contoso.com"
DownloadDomains’i “True” olarak değiştirmemiz gerekmektedir.
Set-OrganizationConfig -EnableDownloadDomains $true
Bu işlemleri test etmek için aşağıdaki maddeleri uygulayabilirsiniz;
- MBX1’den MBX2’ye satır içi resim içeren bir e-posta gönderiniz.
- OWA’da oturum açın ve OWA’da MBX2 için satır içi resim içeren e-postayı açın
- Görüntü yüklenmeli ve okuma bölmesinde görüntülenmelidir.
- Satır içi resme sağ tıklayın ve ‘Resmi yeni sekmede aç’ı seçmeniz gerekiyor.
- Yeni bir sekmede açıldığında resmin URL’sini kontrol edin. Yapılandırmış olduğunuz download.domain URL’sini görmeniz gerekmektedir. Bu, Etki Alanını Karşıdan Yükle’nin etkinleştirildiğini doğrular.
- En son olarak HealtCheck işlemini tekrar gerçekleştirin.
Önerilmemekle birlikte, Download Domains’i devre dışı bırakma adımları, aşağıdaki satırı kullanarak gerçekleşmektedir. “
Set-OrganizationConfig -EnableDownloadDomains $false
NOT: E-posta kullanıcıları, OWA’da oturum açmak için Download.mail.domain.com adını KULLANMAMALIDIR.
