Exchange Server Güvenlik Tehdidi Bilgilendirme

02.02.2021 tarihinde yayınlanan kritik ve Exchange Server 2010, 2013, 2016 ve 2019’u etkileyen bir güvenlik açığı ile ilgili sizlere bilgi vermek isteriz.

Bu güvenlik zaafiyetlerini ortadan kaldırmak için bulunan en son kümülatif güncellemenin kurulup sonrasında ilgili güvenlik yamalarının kurulması gerekmektedir.

Bu aşama GitHub üzerinden indirilebilen Exchange Server Health Checker script kullanılarak eksik güncelleştirmelerin listesi görülebilir. (Bu script 2010 desteklememektedir).

Exchange Online Problemden Etkilenmemektedir.

İlgili zaafiyet kullanılarak limitli bir sayıda siber saldırı yaşandığı bilgisini aldık. İlgili detayları altta paylaşılan linkte görebilirsiniz.

Güvenlik ekiplerinin alttaki yönergeleri inceleyerek özellikle “Indicators of Compromise” başlığı altındaki maddeleri müşterileriniz ve

kurumunuz için değerlendirmesini rica ediyoruz:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

March 2, 2021 Security Update Release – Release Notes – Security Update Guide – Microsoft
CVE-2021-26412
CVE-2021-26854
CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065
CVE-2021-27078

Ayrıca şu ek bilgiler faydalı olacaktır:

Soru-Cevap

1. Bu güvenlik açıkları Exchange Online’ı etkiler mi?

Hayır. Exchange Online kullanan müşteriler bu güvenlik açıklarından etkilenmez.

2. Bu güvenlik açıklarının maksimum önem derecesi, etkisi ve Temel CVSS puanı nedir?

Güvenlik açıkları kümesi, önem derecesi kritik olan Uzaktan Kod Yürütme güvenlik açıklarını içerir. Setteki en yüksek temel CVSS puanı 9.1’dir.

3. Exchange Server’ı etkileyen güvenlik açıklarının dış ortamda istismar edildiği biliniyor muydu?

Evet. Microsoft, bu sürümde tartışılan Exchange güvenlik açıklarından dördünden yararlanan bir devlet oyuncusunun şirket içi Exchange sunucularına yönelik sınırlı hedefli saldırılarının farkındadır.

4. Bu sürümde kaç tane Exchange Server güvenlik açığı düzeltiliyor?

Güvenlik güncelleştirmesi sürümü, Exchange Server’ı etkileyen yedi güvenlik açığı için düzeltmeler içerir. Bunlardan dördünün şirket içi Exchange sunucularına yönelik sınırlı, hedefli saldırılarda kullanıldığı biliniyordu.

5. Exchange sunucularımı bu yeni güvenlik güncellemelerine hazır hale getirmek için herhangi bir hazırlık çalışması yapmam gerekiyor mu?

Microsoft, Exchange Server 2016 ve Exchange Server 2019 için en son iki Kümülatif Güncelleştirme (CU) için destek sağlıyor. Microsoft, Exchange Server 2010 ve Exchange Server 2013 için de en son Güncelleştirme Paketi (UR) için destek veriyor. Desteklenen bir UR veya CU ile çalışan Exchange sunucuları günceldir. Güncel olmayan tüm Exchange sunucularında, yeni güvenlik güncellemelerini yüklemeden önce desteklenen bir UR veya CU’nun kurulması gerekir. Exchange yöneticileri, güncel olmayan Exchange sunucularını güncellemek için gereken ek süreyi hesaba katmalıdır.

 6. Hangi Exchange sunucularımın güvenlik güncellemelerini doğrudan yükleyebileceğini ve hangisinin önce desteklenen bir UR veya CU’ya sahip olması gerektiğini belirlemek için kullanabileceğim bir yöntem var mı?

Evet. GitHub’dan indirilebilen Exchange Server Durum Denetleyicisi komut dosyasını kullanabilirsiniz (en son sürümü kullanın). Bu komut dosyasını çalıştırmak, şirket içi Exchange Server güncellemelerinde geride olup olmadığınızı size söyleyecektir. Bu script Exchange server 2010 versiyonunu desteklememektedir

7. Belirli Exchange sunucularına öncelik vermem gerekir mi (bazı Exchange sunucuları daha yüksek risk altındadır)?

Evet. İnternete yönelik Exchange sunucuları (ör. Web’de Outlook’u yayınlayan sunucular / OWA ve ECP) ​​yüksek risk altındadır ve önce bunlar güncellenmelidir. Hizmet planınız, İnternet’e yönelik Exchange sunucularını tanımlamayı ve bunlara öncelik vermeyi içermelidir.

 8. Bu güvenlik açıkları için geçici çözümler var mı?

Bu güvenlik açıkları, bir saldırı zincirinin parçası olarak kullanılır. İlk saldırı, Exchange sunucusu bağlantı noktası 443’e güvenilmeyen bir bağlantı kurma yeteneğini gerektirir. Korunma, güvenilmeyen bağlantıları kısıtlayarak veya Exchange sunucusunu harici erişimden ayırmak için bir VPN kurarak sağlanabilir. Bu önlemler saldırının yalnızca ilk kısmına karşı koruma sağlayacaktır; Zincirin diğer bölümleri, bir saldırganın zaten erişimi varsa veya bir yöneticiyi kötü amaçlı bir dosyayı çalıştırmaya ikna edebiliyorsa tetiklenebilir.

9. Exchange sunucularımdan herhangi birinin bu güvenlik açıklarından herhangi biri tarafından tehlikeye atılıp atılmadığını nasıl kontrol edebilirim?

Aşağıda atıfta bulunulan Microsoft Tehdit İstihbarat Merkezi (MSTIC) blog yazısı, güvenlik uzmanlarının bu güvenlik açıklarından herhangi birini içermiş olabilecek izinsiz girişleri yakalamak için kullanabilecekleri teknik rehberlik sağlar.

10. Exchange Server’ı etkileyen bu güvenlik açıkları, SolarWinds’ı etkileyen son saldırılarla ilgili miydi?

Hayır. Exchange Server’ı etkileyen bu güvenlik açıkları ile SolarWinds’ı etkileyen son saldırılar arasında herhangi bir bağlantı bulunmamakta.

11. Bu Exchange Server güvenlik açıkları hakkında en güvenilir bilgileri nerede bulabilirim?

Güvenlik açıklarıyla ilgili teknik ayrıntılar için en iyi kaynaklar, aşağıda atıfta bulunulan CVE sayfaları ve MSTIC blog yazısıdır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kategoriler