Blog

Microsoft Exchange Server Zero-Day Zafiyetinin Tespit Edilmesi – Hafnium ( CVE-2021-26855,2021-26857,2021-26858,2021-27065 )

Merhaba, son bir kaç gündür Microsoft Exchange Server’larda keşfedilen zero-day zafiyeti gündemdeki yerini koruyor. Zafiyetin istismar edilmesi sonrasında mail sunucu üzerinde bir çok yetkiye sahip olan saldırganlar veri hırsızlığına kadar bir çok aksiyonu sistemler üzerinde alabilir hale geliyorlar.

Güvenlik açığının haberini portalmız üzeriden yapmıştık . https://www.cozumpark.com/exchange-server-icin-acil-yama-vakti/. Ayrıca yamaların sistemlere nasıl yükleneceğini Sayın Hakan UZUNER’in detaylı şekilde anlattığı bir yazı yayınlamıştı. https://www.hakanuzuner.com/hafnium-exchange-servers-with-0-day-exploits-icin-nasil-guncelleme-yukleyebilirim/

Microsoft tarafından güncellemelerin yayınlamasına rağmen hala güncelleme geçilmeyen onlarca sistem görülebilmekte. Bu blog yazısında sisteminizin bu zafiyetten etkilenip etkilenmediğin nasıl tespit edeceğinizi hep beraber inceleyeceğiz.

Bunun için Microsoft kullanışlı bir script yayınladı bu scripti kullanarak sizde sisteminizin etkilenip etkilenmediğini kontrol edebilirsiniz.

İlk olarak ps script’i buradan Exchange sunucu üzerine indiriyoruz https://github.com/microsoft/CSS-Exchange/tree/main/Security

İnidiren scriptin kullanımı detaylı şekilde gösterilmiş. Üç şekilde kullanabiliyorsunuz.

Aşağıdak gibi çalıştırısanız, ortamdaki tüm Exchange sunucularını test ederiyor.

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Aşağıdaki gibi çalıştırsanız sadece login olduğunuz Exchange Server için rapor alırısız.

.\Test-ProxyLogon.ps1 -OutPath $home\desktop\log

Bu şekilde kullanımda ise sadece bilgi verir, üretilen raporu export etmez.

.\Test-ProxyLogon.ps1

Aşağıdaki ekran çıktısında görüldüğü gibi zafiyetin bulguları bu sunucuda testip edildi ve export raporları csv formatında üretildi.

Bir diğer zafiyet için öncelikle IIS Rewriter eklentisini indiriyoruz.

https://www.iis.net/downloads/microsoft/url-rewrite

Daha sonra yine aynı github sayfasındaki ikinci PS komutunu

BackendCookieMitigation.ps1

Komutu aşağıdaki gibi çalıştırıyoruz

.\BackendCookieMitigation.ps1 -FullPathToMSI “” -WebSiteNames “Default Web Site” -Verbose

Örnek kullanım

.\BackendCookieMitigation.ps1 -FullPathToMSI “C:\Users\hakan.uzuner\Downloads\urlrewrite2.exe” -WebSiteNames “Default Web Site” -Verbose

Üçüncü kontrol noktası ise bir nmap dosyası, aşağıdaki gibi kullanabilirsiniz.

Nmap -Pn -p T:443 –script http-vuln-cve2021-26855 IP

Evet sizde bu şekilde sistemlerinizi test edip eğer sisteminiz etkilenmiş ise hemen aksiyon alabilirsiniz.

Faydalı olması dileği ile keyifli okumalar.

İlgili Makaleler

3 Yorum

  1. Test-ProxyLogon.ps1 de çıkan sonuçta erişim görüldüğünde patch geçmekten başka yapılması gereken birşey var mı?

  2. Evet, bu false positive de olabilir olmayada bilir, ondan bir uzmana test ettirin sisteminizi, bunu güvenlik şirketleri hizmet olarak sunuyor.

  3. Merhaba Mehmet Sait hocam,

    ilgili komutu çalıştırdığım da aşağıdaki hatayı alıyorum.
    You must provide a value expression on the right-hand side of the ‘-‘ operator.
    At C:\Users\administrator.FIMAR\Desktop\logs\Test-ProxyLogon.ps1:272 char:48
    + If ( $_.Extension – <<<< in $zipFilter ) {
    + CategoryInfo : ParserError: (:) [], ParseException
    + FullyQualifiedErrorId : ExpectedValueExpression

    Burdaki -in komutunda sorun var diyor. Nasıl çözebiliriz.
    If ( $_.Extension -in $zipFilter ) {
    [PSCustomObject]@{
    ComputerName = $env:COMPUTERNAME
    Type = 'SuspiciousArchive'
    Path = $_.FullName
    Name = $_.Name
    LastWrite = $_.LastWriteTimeUtc
    }
    }

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu