Microsoft Exchange Zafiyeti Nedir?

Microsoft Exchange Server Nedir?

Günümüzde çok fazla kurum tarafından tercih edilen Microsoft Exchange Server, Microsoft şirketi tarafından 1993 yılında kullanılmaya başlamış ve 1996 yılında ise piyasaya sürülmüş bir haberleşme yazılımıdır.

Kurumsal şirketlerin Microsoft Exchange’i tercih etmelerindeki en büyük etkenler ise; E-posta iletişiminin olması, merkezi yönetimin sağlanması, dosya paylaşımı, verilerin yedek olarak tutulabilmesi ve iş süreçlerini takip etmek için takvim üzerinden planlamaların yapılmasıdır.

Tespit Edilen Exchange Zafiyeti

2021 yılı Mart ayı itibariyle Microsoft Exchange Sunucuları üzerinde 4 adet zafiyet tespit edilmiştir. Bu zafiyetler ile kötü niyetli hackerler, Microsoft Exchange Sunucuları üzerinde dosya yazabilmekte ve SYSTEM yetkisi ile uzaktan komut yürütme işlemi gerçekleştirebilmektedirler.

Bahsedilen zafiyetlerden etkilenen Microsoft Exchange Sunucuları ise;
Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 ve son olarak Microsoft Exchange Server 2019 versiyonlarıdır.

Microsoft Exchange ile ilgili CVE kaynakları ise maddeler halinde aşağıda verilmektedir;
1- CVE-2021-26855 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855/
2- CVE-2021-26857 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857/
3- CVE-2021-26858 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858/
4- CVE-2021-27065 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065/

Exchange Zafiyeti Kontrolü ve Yaması

Microsoft Exchange sunucularında bulunan zafiyetlerin birden çok yöntem ve araç ile kontrolü sağlanabilmektedir. Microsoft şirketinin hazırlamış olduğu betikler sunucu üzerinde çalıştırılarak ilgili zafiyetlerin olup olmadığı kontrol edilebilir

Microsoft Betikleri:
https://github.com/microsoft/CSS-Exchange/tree/main/Security

Exchange Sunucu yamaları:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901/

Exchange Path ve Dosyaları

Microsoft Exchange Sunucuları üzerinde belirli pathler bulunmaktadır ve bu pathler saldırganların web Shell yüklemek için kullandığı alanlardır. İlgili pathler aşağıda maddeler halinde gösterilmektedir;

1- C:\inetpub\wwwroot\aspnet_client\
2- C:\inetpub\wwwroot\aspnet_client\system_web\
3- In Microsoft Exchange Server installation paths such as:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Saldırganlar tarafından yüklenen web Shell dosyaları ise aşağıda maddeler halinde verilen DOSYA isimleri gibi olabilmektedir;

1- web.aspx
2- help.aspx
3- document.aspx
4- errorEE.aspx
5- errorEEE.aspx
6- errorEW.aspx
7- errorFF.aspx
8- healthcheck.aspx
9- aspnet_www.aspx
10- aspnet_client.aspx
11- xx.aspx
12- shell.aspx
13- aspnet_iisstart.aspx
14- one.aspx

Önemli Noktalar:

1- Data exfiltration işleminin yapılıp yapılmadığının kontrolü için “C:\ProgramData\” dizini altındaki .zip, .rar, ve .7z uzantılı dosyalar incelenmelidir.

2- LSASS Dump:
Aşağıdaki dizinler lsass.exe prosesine ait herhangi bir dump var mı diye kontrol edilmelidir. (Local Security Authority System Service(lsass.exe), kullanıcılar sisteme giriş yaptıktan sonra kullanmış oldukları kullanıcı adı ve parola gibi bilgileri depolamaktadır. Proses içinde kerberos ticket, NTLM parola özeti, LM parola özeti ve parolanın düz metin hali saklanmaktadır.)

C:\windows\temp\
C:\root\