Merhaba, son bir kaç gündür Microsoft Exchange Server’larda keşfedilen zero-day zafiyeti gündemdeki yerini koruyor. Zafiyetin istismar edilmesi sonrasında mail sunucu üzerinde bir çok yetkiye sahip olan saldırganlar veri hırsızlığına kadar bir çok aksiyonu sistemler üzerinde alabilir hale geliyorlar.
Güvenlik açığının haberini portalmız üzeriden yapmıştık . https://www.cozumpark.com/exchange-server-icin-acil-yama-vakti/. Ayrıca yamaların sistemlere nasıl yükleneceğini Sayın Hakan UZUNER’in detaylı şekilde anlattığı bir yazı yayınlamıştı. https://www.hakanuzuner.com/hafnium-exchange-servers-with-0-day-exploits-icin-nasil-guncelleme-yukleyebilirim/
Microsoft tarafından güncellemelerin yayınlamasına rağmen hala güncelleme geçilmeyen onlarca sistem görülebilmekte. Bu blog yazısında sisteminizin bu zafiyetten etkilenip etkilenmediğin nasıl tespit edeceğinizi hep beraber inceleyeceğiz.
Bunun için Microsoft kullanışlı bir script yayınladı bu scripti kullanarak sizde sisteminizin etkilenip etkilenmediğini kontrol edebilirsiniz.
İlk olarak ps script’i buradan Exchange sunucu üzerine indiriyoruz https://github.com/microsoft/CSS-Exchange/tree/main/Security
İnidiren scriptin kullanımı detaylı şekilde gösterilmiş. Üç şekilde kullanabiliyorsunuz.
Aşağıdak gibi çalıştırısanız, ortamdaki tüm Exchange sunucularını test ederiyor.
Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logsAşağıdaki gibi çalıştırsanız sadece login olduğunuz Exchange Server için rapor alırısız.
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logBu şekilde kullanımda ise sadece bilgi verir, üretilen raporu export etmez.
.\Test-ProxyLogon.ps1
Aşağıdaki ekran çıktısında görüldüğü gibi zafiyetin bulguları bu sunucuda testip edildi ve export raporları csv formatında üretildi.
Bir diğer zafiyet için öncelikle IIS Rewriter eklentisini indiriyoruz.
https://www.iis.net/downloads/microsoft/url-rewrite
Daha sonra yine aynı github sayfasındaki ikinci PS komutunu
BackendCookieMitigation.ps1
Komutu aşağıdaki gibi çalıştırıyoruz
.\BackendCookieMitigation.ps1 -FullPathToMSI “” -WebSiteNames “Default Web Site” -Verbose
Örnek kullanım
.\BackendCookieMitigation.ps1 -FullPathToMSI “C:\Users\hakan.uzuner\Downloads\urlrewrite2.exe” -WebSiteNames “Default Web Site” -Verbose
Üçüncü kontrol noktası ise bir nmap dosyası, aşağıdaki gibi kullanabilirsiniz.
Nmap -Pn -p T:443 –script http-vuln-cve2021-26855 IP
Evet sizde bu şekilde sistemlerinizi test edip eğer sisteminiz etkilenmiş ise hemen aksiyon alabilirsiniz.
Faydalı olması dileği ile keyifli okumalar.