EN
EN

Microsoft Exchange Zero-Day Zafiyeti

05 Mart 2021


Microsoft tarafından Salı (02.03.2021) günü HAFNIUM hacker grubuna atfedilen bir zafiyet ile ilgili bildirimde bulunuldu. Zafiyet 0-Day seviyesinde olduğundan ve zafiyetten yararlanan saldırganların HTTPS protokolü üzerinden sistemlere zararlı dosya upload edebiliyor olmalarından ötürü oldukça hızlı bir şekilde aksiyon alınması gerekmektedir. Ancak bu zafiyet biraz kafa karışıklığına sebep oldu. Halâ hangi Exchange sürümlerinin bu zafiyetten etkilendiği birçok kesim tarafından net olarak anlaşılabilmiş değil. Türkiye’deki bazı blog gönderilerinde zafiyetin yalnızca Microsoft’un patch yayınladığı sürümler olan Exchange Server 2013 CU23, Exchange Server 2016 CU18 ve CU19 ile Exchange Server 2019 CU7 ve CU8 için geçerli olduğuna yönelik ifadeler yer alıyor.

Öncelikle net olarak ifade etmeliyiz ki bu sunucu seviyesinde bir zafiyet. Yani yalnızca belli Cumulative Update yüklü olan sistemleri tehdit etmiyor. Tüm sistemleri tehdit ediyor. Bu zafiyetten yararlanılarak sızma girişimi yapılabilecek sistemler şu şekilde;

-Exchange Server 2010 (Tüm sürümler)
-Exchange Server 2013 (Tüm sürümler)
-Exchange Server 2016 (Tüm sürümler)
-Exchange Server 2019 (Tüm sürümler)

Microsoft’un güvenlik yaması yayınladığı sistemler ise şu şekilde;

-Exchange Server 2010 Update Rollup 32
-Exchange Server 2013 CU23
-Exchange Server 2016 CU18 ve CU19
-Exchange Server 2019 CU7 ve CU8

Zafiyet o kadar kritik bir durumda ki Microsoft normalde destek süresi sona ermiş olan Exchange Server 2010 için bile patch yayınladı. Şimdi gelelim neden sadece belli versiyonlar için patch yayınlandığına. Microsoft bilinen zafiyetler, çeşitli güvenlik iyileştirmeleri ve birtakım performans sorunları için düzenli aralıklarla CU (cumulative update) yayınlıyor. Bu güncellemelerin ise sunucu sistemlerine yüklenmesi gerekiyor. Burada sadece belli versiyonlar için güncelleme yayınlanmasının sebebi aynı zamanda CU güncellemelerinin de sisteme uygulanmasını sağlamak. Çünkü yazının başında da değindiğimiz gibi bu CU’ lar içerisinde güvenlik ve performans ile ilgili iyileştirmeler yer alıyor.

Peki biz nasıl bir yol izleyeceğiz ve bu zafiyete karşı sistemlerimizi nasıl güvenli hale getirebileceğiz? Bunu isterseniz adım adım anlatalım.

1. Öncelikle hangi Exchange Server versiyonunu kullandığınıza göre aşağıda yer alan komutları çalıştırmanız ve sisteminizin CU versiyonunu belirlemeniz gerekiyor. (Komutların Exchange Shell üzerinde çalıştırılması gerekiyor)

-Exchange Server 2010 için; Get-Command ExSetup | ForEach {$_.FileVersionInfo}

-Exchange Server 2013 ve sonrası için; Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion

2. Bu komutlardan elde edilen çıktıların bu sayfada yer alan ilgili Exchange başlığı altındaki değerler ile karşılaştırılarak hangi CU versiyonunun kullanıldığının belirlenmesi gerekiyor.

Örneğin Exchange Server 2016 için aşağıdaki gibi bir çıktıyı ilgili sayfa ile karşılaştırıyoruz ve AdminDisplayVersion ekranında yazan build numarasının CU17 ’ye denk geldiğini görebiliyoruz;

3. Bu durumda yine ilgili sayfadan CU18 veya CU19 sürümünü download ediyoruz. (dikkat ederseniz sadece CU18 ve CU19 için link var)

Not: Hem CU güncellemeleri hem de yüklenmesi gereken güvenlik yaması Exchange sunucunuzun çalışan servislerini durdurmaktadır. Bu güncellemeler öncesinde sistemlerinizin çalıştığından emin olduğunuz bir yedeğini almanızı tavsiye ederiz. Exchange sunucunuzu sanal olarak kullanıyorsanız işlem öncesinde snapshot almanız faydalı olacaktır. Sunucunuzda yüklü bir güvenlik yazılımı var ise çalışmalar sırasında devre dışı bırakmanızı öneririz. Eğer DAG gibi yedekli bir mimariye sahip değilseniz çalışmayı kullanıcılarınızın en az aktif olduğu zaman diliminde gerçekleştirebilirsiniz.

4. İlgili CU güncellemesini sisteminize yüklemeniz gerekiyor. Yükleme sonrasında aşağıdaki gibi bir Shell çıktısı almalısınız;

5. CU yüklemesini tamamladıktan ve sisteminizin düzgün bir şekilde çalıştığını teyit ettikten sonra bu link üzerinden sisteminiz için uygun olan security patch’i download etmeniz gerekiyor.

6. İlgili güvenlik yamasını download ederek veya Windows update aracılığı ile yüklemeniz gerekiyor. Yükledikten sonra kontrollerinizi aşağıdaki gibi yapabilirsiniz;

Bu aşamadan sonra yüklemeler başarılı bir şekilde tamamlanmış olur. Ancak Exchange Server klasör içeriklerinin kontrol edilerek zararlılara karşı analiz edilmesinde fayda olduğunu kanaatindeyiz. Güvenli günler dileriz.

Kaynaklar:

MsrcBlog

Microsoft

Volexity

 

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog