Haberler

Microsoft, Kritik Exchange Zafiyeti İçin Bilgilendirme Yaptı

Microsoft, Exchange server’da keşfedilen ve dün haberi yaptığımız kritik zero-day zafiyeti için bilgilendirme yaptı.

Microsoft, zafiyetin Microsoft Exchange Server 2013, 2016 ve 2019 sürümlerini etkilediğini ve istismar edildiğini açıkladı. CVE-2022-41040 olarak izlenen ilk güvenlik açığı, Server-Side Request Forgery (SSRF) güvenlik açığı iken, CVE-2022-41082 olarak tanımlanan ikinci güvenlik açığı, PowerShell tarafından erişilebilir olduğunda uzaktan kod yürütülmesine (RCE) izin veriyor.  CVE-2022-41040 açığından yalnızca kimliği doğrulanmış saldırganlar tarafından yararlanılabileceğini belirtilirken başarılı bir istismar daha sonra CVE-2022-41082 RCE güvenlik açığını tetiklemelerine olanak tanıyor. Zafiyet sadece Microsoft Exchange on premise sistemleri etkilerken Exchange Online kullanıcılarını etkilemiyor.

Microsoft, bir güncelleme üzerinde çalıştıklarını belirtiken güncelleme yayınlana kadar aşağıdaki mitigate ve kontrol adımlarının yapılmasını tavsiye ediyor.

Mitigate ve kontrol adımları

Exchange sunucularının güvenliği ihlal edilip edilmediğini kontrol etmek isteyenlerin, IIS günlük dosyalarını taramak için aşağıdaki PowerShell komutunu kullanabilir.

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

“.*autodiscover\.json.*\@.*Powershell.*” 

{REQUEST_URI}

CVE-2022-41082 ile uzaktan kod yürütmek için Exchange sunucularında PowerShell Remoting’e de erişebilindiğinden, aşağıdaki PowerShell portlarının engellemeleri öneriliyor.

  • HTTP: 5985
  • HTTPS: 5986

Kaynak:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

bleepingcomputer.com

İlgili Makaleler

2 Yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.