EN

Microsoft Exchange Zero-Day Zafiyeti


Microsoft tarafından Salı (02.03.2021) günü HAFNIUM hacker grubuna atfedilen bir zafiyet ile ilgili bildirimde bulunuldu. Zafiyet 0-Day seviyesinde olduğundan ve zafiyetten yararlanan saldırganların HTTPS protokolü üzerinden sistemlere zararlı dosya upload edebiliyor olmalarından ötürü oldukça hızlı bir şekilde aksiyon alınması gerekmektedir. Ancak bu zafiyet biraz kafa karışıklığına sebep oldu. Halâ hangi Exchange sürümlerinin bu zafiyetten etkilendiği birçok kesim tarafından net olarak anlaşılabilmiş değil. Türkiye’deki bazı blog gönderilerinde zafiyetin yalnızca Microsoft’un patch yayınladığı sürümler olan Exchange Server 2013 CU23, Exchange Server 2016 CU18 ve CU19 ile Exchange Server 2019 CU7 ve CU8 için geçerli olduğuna yönelik ifadeler yer alıyor.

Öncelikle net olarak ifade etmeliyiz ki bu sunucu seviyesinde bir zafiyet. Yani yalnızca belli Cumulative Update yüklü olan sistemleri tehdit etmiyor. Tüm sistemleri tehdit ediyor. Bu zafiyetten yararlanılarak sızma girişimi yapılabilecek sistemler şu şekilde;

-Exchange Server 2010 (Tüm sürümler)
-Exchange Server 2013 (Tüm sürümler)
-Exchange Server 2016 (Tüm sürümler)
-Exchange Server 2019 (Tüm sürümler)

Microsoft’un güvenlik yaması yayınladığı sistemler ise şu şekilde;

-Exchange Server 2010 Update Rollup 32
-Exchange Server 2013 CU23
-Exchange Server 2016 CU18 ve CU19
-Exchange Server 2019 CU7 ve CU8

Zafiyet o kadar kritik bir durumda ki Microsoft normalde destek süresi sona ermiş olan Exchange Server 2010 için bile patch yayınladı. Şimdi gelelim neden sadece belli versiyonlar için patch yayınlandığına. Microsoft bilinen zafiyetler, çeşitli güvenlik iyileştirmeleri ve birtakım performans sorunları için düzenli aralıklarla CU (cumulative update) yayınlıyor. Bu güncellemelerin ise sunucu sistemlerine yüklenmesi gerekiyor. Burada sadece belli versiyonlar için güncelleme yayınlanmasının sebebi aynı zamanda CU güncellemelerinin de sisteme uygulanmasını sağlamak. Çünkü yazının başında da değindiğimiz gibi bu CU’ lar içerisinde güvenlik ve performans ile ilgili iyileştirmeler yer alıyor.

Peki biz nasıl bir yol izleyeceğiz ve bu zafiyete karşı sistemlerimizi nasıl güvenli hale getirebileceğiz? Bunu isterseniz adım adım anlatalım.

1. Öncelikle hangi Exchange Server versiyonunu kullandığınıza göre aşağıda yer alan komutları çalıştırmanız ve sisteminizin CU versiyonunu belirlemeniz gerekiyor. (Komutların Exchange Shell üzerinde çalıştırılması gerekiyor)

-Exchange Server 2010 için; Get-Command ExSetup | ForEach {$_.FileVersionInfo}

-Exchange Server 2013 ve sonrası için; Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion

2. Bu komutlardan elde edilen çıktıların bu sayfada yer alan ilgili Exchange başlığı altındaki değerler ile karşılaştırılarak hangi CU versiyonunun kullanıldığının belirlenmesi gerekiyor.

Örneğin Exchange Server 2016 için aşağıdaki gibi bir çıktıyı ilgili sayfa ile karşılaştırıyoruz ve AdminDisplayVersion ekranında yazan build numarasının CU17 ’ye denk geldiğini görebiliyoruz;

3. Bu durumda yine ilgili sayfadan CU18 veya CU19 sürümünü download ediyoruz. (dikkat ederseniz sadece CU18 ve CU19 için link var)

Not: Hem CU güncellemeleri hem de yüklenmesi gereken güvenlik yaması Exchange sunucunuzun çalışan servislerini durdurmaktadır. Bu güncellemeler öncesinde sistemlerinizin çalıştığından emin olduğunuz bir yedeğini almanızı tavsiye ederiz. Exchange sunucunuzu sanal olarak kullanıyorsanız işlem öncesinde snapshot almanız faydalı olacaktır. Sunucunuzda yüklü bir güvenlik yazılımı var ise çalışmalar sırasında devre dışı bırakmanızı öneririz. Eğer DAG gibi yedekli bir mimariye sahip değilseniz çalışmayı kullanıcılarınızın en az aktif olduğu zaman diliminde gerçekleştirebilirsiniz.

4. İlgili CU güncellemesini sisteminize yüklemeniz gerekiyor. Yükleme sonrasında aşağıdaki gibi bir Shell çıktısı almalısınız;

5. CU yüklemesini tamamladıktan ve sisteminizin düzgün bir şekilde çalıştığını teyit ettikten sonra bu link üzerinden sisteminiz için uygun olan security patch’i download etmeniz gerekiyor.

6. İlgili güvenlik yamasını download ederek veya Windows update aracılığı ile yüklemeniz gerekiyor. Yükledikten sonra kontrollerinizi aşağıdaki gibi yapabilirsiniz;

Bu aşamadan sonra yüklemeler başarılı bir şekilde tamamlanmış olur. Ancak Exchange Server klasör içeriklerinin kontrol edilerek zararlılara karşı analiz edilmesinde fayda olduğunu kanaatindeyiz. Güvenli günler dileriz.

Kaynaklar:

MsrcBlog

Microsoft

Volexity