Forum

Forumlar
Microsoft
Exchange Server
Exchange zero-day a...
 
Bildirimler
Hepsini Temizle

Exchange zero-day atağı ve kullanıcıyı tespit etmek

 
Exchange Server
Son Cevaplar gön: Hakan Uzuner 1 yıl önce
2 Yazılar
2 Üyeler
0 Likes
769 Görüntüleme
RSS
 Tevfik Ceydeliler
(@tevfikceydeliler)
Gönderiler: 58
Estimable Member
Konu başlatıcı
 

Merhaba,

Dün SIEM üzerinde bir zero-day atağı tespit ettik. Saldırı 401 aldığı için başarılı değil.  Aşağıdaki log  bu tespitin kaydı.

Ancak, hangi kullanıcı adı, şifre vs kullanılarak yapıldığını bulamadım henüz.

2022-10-04 15:30:22 W3SVC2 EXCHXXXX 10.X.Y.Z GET /owa/ &Email=autodiscover/autodiscover.json%[email protected]&ClientId=B60E3BCD91094265AB2562A329CE5FC5&ClientRequestId=&ActID=cd08a103-aaac-4c2f-b1e0-dd31832a56b4&Forest=yasar&CorrelationID=<empty> 444 - 10.A.B.C HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+rv:68.0)+Gecko/20100101+Firefox/68.0 - - exchxxxx.company.grp:444 401 0 0 2003 858 17

Buradaki ClientId kısmından faydalanarak kullanıcı adına vs erişebilmek için nasıl bir yol izlemeliyim. Ya da başka bir yöntem önerebilir msiniz?

Teşekkürler.

 
Gönderildi : 05/10/2022 11:37
Konu Etiketleri
Exchange 2016

Hakan Uzuner
 Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32994
Illustrious Member Yönetici
 

Maalesef, ClientId kısmından kullanıcı adına veya şifreye erişmeniz mümkün değil. Bu ClientId, EWS (Exchange Web Services) istemcisi tarafından otomatik olarak oluşturulan bir benzersiz kimlik numarasıdır ve bu istekle bağlantılı olan bir istek kimliği olarak kullanılır.

401 hatası, isteği yapan kullanıcının doğru kimlik doğrulama bilgileri olmadığı anlamına gelir. Bu durumda, kullanıcının kimliğini belirlemek için farklı yöntemler deneyebilirsiniz:

  1. EWS istemcisine kimlik doğrulaması için kullanılan hesap bilgilerini kontrol edin.

  2. EWS istemcisi tarafından kullanılan IP adreslerini kontrol edin ve bu IP adreslerini izleyin.

  3. Exchange sunucusu üzerindeki logları inceleyin ve bu isteği yapan kullanıcının kimliğini belirlemeye çalışın.

  4. 401 hatalarının kaydı tutuluyorsa, bu hataların izlenmesi ve analiz edilmesi yararlı olabilir.

Unutmayın ki zero-day saldırılarının tespiti genellikle zor ve zaman alıcı bir süreçtir. Olaylar ve loglar üzerinde ayrıntılı bir inceleme yapmak ve birden fazla kaynaktan bilgi toplamak gerekebilir. Bu nedenle, diğer logları ve kaynakları da incelemeyi deneyebilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/03/2023 09:12

Forum Jump:
  Önceki Konu
Sonraki Konu  
İlgili Konular
Konu Etiketleri:  Exchange 2016 (30) ,
Paylaş: