Exchange Server HAFNIUM Zafiyet Taraması Yaptınız Mı?
Öncelikle Exchange server gibi dış dünyaya açık sistemler için yama yükleme kritik bir öneme sahiptir, aşağıdaki haber de de detaylarına ulaşabileceğiniz gibi yine Exchange Server ile ilgili kritik bir zafiyet tespit edildi. Bu durumda ilk iş olarak hızlı bir şekilde sistemlerimizi güncellememiz gerekli.
https://cengizyilmaz.net/exchange-server-icin-yama-vakti/
Test-ProxyLogon.ps1
Microsoft, Hafnium zafiyetlerinden etkilenen Exchange Serverları bulabilmek için blog sayfasında powershell komutları ve çalışma yönteminden bahsediyor. 3 Mart itibari ile Test-ProxyLogon.ps1 güncelleyerek, artık komutları otomatik olarak çalıştırarak zafiyet etki durumunu bildirebiliyor.
Test-ProxyLogon.ps1 script dosyasını Exchange Server ortamında Exchange Management Shell ile çalıştırmak yeterli olacaktır.
Tüm Exchange Serverlarda sonuç almak için,
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logsLokal Exchange Serverda sonuç almak için,
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs
Çıktıda görüldüğü Http Proxy loglarında üzere şüpheli aktiviteler bulunuyor. Bu sunucu üzerinde en kısa sürede güncelleme yapılması gerekiyor.
Masaüstünde logs klasörüne tüm şüpheli aktivitelerin logları csv formatında yer almaktadır.
BackendCookieMitigation.ps1
Bu script kötü amaçlı X-AnonResource-Backend ve hatalı biçimlendirilmiş X-BEResource çerezleri içeren https isteklerini filtreleyecektir. Bu, bir bütün olarak SSRF’ye değil, gözlemlenen bilinen modellere karşı savunmaya yardımcı olacaktır.
BackendCookieMitigation.ps1 script dosyasını indirdikten sonra çalıştırabilmek için URL Rewrite modülüne ihtiyaç duyuyor, hemen edinebilirsiniz.
Powershell ile scripti çalıştırmak yeterli olacaktır.
.\BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -Verboseİşlemi geri almak için,
.\BackendCookieMitigation.ps1 -WebSiteNames "Default Web Site" -RollbackMitigation -Verbose
http-vuln-cve2021-26855.nse
Bu dosya nmap ile kullanım içindir. Belirtilen URL’nin Exchange Server SSRF Güvenlik Açığı’na (CVE-2021-26855) karşı savunmasız olup olmadığını algılar.
Sonuç
Resim-2’den sonra buradaysanız. Güncellemeler servisleri durduracağından kesintiyi planlamanızı öneririm. Kümülatif güncelleme ortalama her bir Exchange Server için 2-2:30 saat, güvenlik güncelleme ise ortalama 1 saat sürebilmektedir.
Exchange Server, DAG ortamı içindeyse mailbox veritabanlarının aktif kopyasını çalışmaya başlamadığınız sunucu üzerine geçirmeniz gerekmektedir. Aktif mailbox veritabanı kopyası geçtikten sonra, istemcilerin erişim sorunu yaşamaması için gelen tüm trafiği direkt aktif kopyanın çalıştığı sunucu üzerinden geçecek şekilde düzenlemeniz gerekiyor. Güncelleme planına network biriminin dahil edilmesi kesintisiz geçiş için artı sağlayacaktır.
Güvenlik güncellemeleri,
Kümülatif güncellemeleri,
Exchange Server build numbers and release dates | Microsoft Docs
Bonus
Microsoft, Exchange Serverin destek kapsamı son iki kümülatif güncelleme dahilinde sağlanmakta. Fakat etkilenen müşteri sayısı ciddi sayılara ulaştığı için 08/03/2021 tarihinde aşağıdaki versiyonlarada özel olarak güvenlik güncellemesi sunmaya başladı.
Exchange Server 2019
Download Security Update For Exchange Server 2019 Cumulative Update 8 (KB5000871)- Download Security Update For Exchange Server 2019 Cumulative Update 7 (KB5000871)
- Download Security Update For Exchange Server 2019 Cumulative Update 6 (KB5000871)
- Download Security Update For Exchange Server 2019 Cumulative Update 5 (KB5000871)
- Download Security Update For Exchange Server 2019 Cumulative Update 4 (KB5000871)
Exchange Server 2016
- Download Security Update For Exchange Server 2016 Cumulative Update 19 (KB5000871)
- Download Security Update For Exchange Server 2016 Cumulative Update 18 (KB5000871)
- Download Security Update For Exchange Server 2016 Cumulative Update 16 (KB5000871)
- Download Security Update For Exchange Server 2016 Cumulative Update 15 (KB5000871)
- Download Security Update For Exchange Server 2016 Cumulative Update 14 (KB5000871)
