Exchange Server HAFNIUM Zafiyet Taraması Yaptınız Mı?

0
48

Öncelikle Exchange server gibi dış dünyaya açık sistemler için yama yükleme kritik bir öneme sahiptir, aşağıdaki haber de de detaylarına ulaşabileceğiniz gibi yine Exchange Server ile ilgili kritik bir zafiyet tespit edildi. Bu durumda ilk iş olarak hızlı bir şekilde sistemlerimizi güncellememiz gerekli.

https://cengizyilmaz.net/exchange-server-icin-yama-vakti/

Test-ProxyLogon.ps1

Microsoft, Hafnium zafiyetlerinden etkilenen Exchange Serverları bulabilmek için blog sayfasında powershell komutları ve çalışma yönteminden bahsediyor. 3 Mart itibari ile Test-ProxyLogon.ps1 güncelleyerek, artık  komutları otomatik olarak çalıştırarak zafiyet etki durumunu bildirebiliyor.

Test-ProxyLogon.ps1 script dosyasını Exchange Server ortamında Exchange Management Shell ile çalıştırmak yeterli olacaktır.

Tüm Exchange Serverlarda sonuç almak için,

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Lokal Exchange Serverda sonuç almak için,

.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Çıktıda görüldüğü Http Proxy loglarında üzere şüpheli aktiviteler bulunuyor. Bu sunucu üzerinde en kısa sürede güncelleme yapılması gerekiyor.

Masaüstünde logs klasörüne tüm şüpheli aktivitelerin logları csv formatında yer almaktadır.

BackendCookieMitigation.ps1

Bu script kötü amaçlı X-AnonResource-Backend ve hatalı biçimlendirilmiş X-BEResource çerezleri içeren https isteklerini filtreleyecektir. Bu, bir bütün olarak SSRF’ye değil, gözlemlenen bilinen modellere karşı savunmaya yardımcı olacaktır.

BackendCookieMitigation.ps1 script dosyasını indirdikten sonra çalıştırabilmek için URL Rewrite modülüne ihtiyaç duyuyor, hemen edinebilirsiniz.

Powershell ile scripti çalıştırmak yeterli olacaktır.

.\BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -Verbose

İşlemi geri almak için,

.\BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -RollbackMitigation -Verbose

http-vuln-cve2021-26855.nse

Bu dosya nmap ile kullanım içindir. Belirtilen URL’nin Exchange Server SSRF Güvenlik Açığı’na (CVE-2021-26855) karşı savunmasız olup olmadığını algılar.

Sonuç

Resim-2’den sonra buradaysanız. Güncellemeler servisleri durduracağından kesintiyi planlamanızı öneririm. Kümülatif güncelleme ortalama her bir Exchange Server için 2-2:30 saat, güvenlik güncelleme ise ortalama 1 saat sürebilmektedir.

Exchange Server, DAG ortamı içindeyse mailbox veritabanlarının aktif kopyasını çalışmaya başlamadığınız sunucu üzerine geçirmeniz gerekmektedir. Aktif mailbox veritabanı kopyası geçtikten sonra, istemcilerin erişim sorunu yaşamaması için gelen tüm trafiği direkt aktif kopyanın çalıştığı sunucu üzerinden geçecek şekilde düzenlemeniz gerekiyor. Güncelleme planına network biriminin dahil edilmesi kesintisiz geçiş için artı sağlayacaktır.

Güvenlik güncellemeleri,

Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)

Kümülatif güncellemeleri,

Exchange Server build numbers and release dates | Microsoft Docs

Bonus

Microsoft, Exchange Serverin destek kapsamı son iki kümülatif güncelleme dahilinde sağlanmakta. Fakat etkilenen müşteri sayısı ciddi sayılara ulaştığı için 08/03/2021 tarihinde aşağıdaki versiyonlarada özel olarak güvenlik güncellemesi sunmaya başladı.

Exchange Server 2019
Exchange Server 2016
Exchange Server 2013

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz