Microsoft Exchange Sunucusuna ait 4 kritik Güvenlik Açığı

CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483

Geçtiğimiz aylarda Hafnium olarak bilenen, APT grubu tarafından istismar edilen Exchange serverlerdeki
güvenlik açığına 4 kritik zero day güvenlik zafiyeti daha eklendi.

Detaylar

CVE-2021-28480 ve CVE-2021-28481 , Microsoft Exchange Server'daki ön kimlik doğrulama (pre-

authencation) güvenlik açıklarıdır. Ön kimlik doğrulama güvenlik açığı, bir saldırganın güvenlik açığından
yararlanabilmesi için güvenlik açığından etkilenen Exchange Server'da kimlik doğrulaması yapmasına
gerek olmadığı anlamına gelir. Saldırganın yapması gereken tek şey, amaçlanan hedeflerine karşı keşif
yapmak ve ardından savunmasız Exchange Sunucusuna özel hazırlanmış istekler göndermektir.

CVE-2021-28482 ve CVE-2021-28483 , Microsoft Exchange Server'daki kimlik doğrulama sonrası (post-

authentication) güvenlik açıklarıdır. CVE-2021-28480 ve CVE-2021-28481'den farklı olarak, bunlar yalnızca
bir saldırganın güvenlik açığı bulunan bir Exchange Sunucusunda kimliğini doğruladığında kullanılabilir.
Ancak bu açıklıklar, bu gereksinimi atlatmak için ön kimlik doğrulamalı bir Exchange Server güvenlik
açığıyla birlikte kullanılabilir. Geçen aylarda saldırganlar , güvenliği ihlal edilmiş Exchange Sunucularına
web kabuklarını (web shell) yerleştirmek ve kalıcılığı (persistence) sürdürmek için ProxyLogon'dan kimlik
doğrulama sonrası güvenlik açıklarıyla birlikte yararlandı .

Bu dört güvenlik açığı NSA tarafından keşfedildiği ve ilgili zafiyetlerin Microsoft Güvenlik Ekibi'ne de
aktarıldığı gözlenmiştir.

Microsoft, güvenlik açıkları için güvenlik güncellemeleri yayınladı:

 ASPM-2021-28480 | Microsoft Exchange Server Uzaktan Kod Yürütme Güvenlik Açığı

 ASPM-2021-28481 | Microsoft Exchange Server Uzaktan Kod Yürütme Güvenlik Açığı
 ASPM-2021-28482 | Microsoft Exchange Server Uzaktan Kod Yürütme Güvenlik Açığı
 ASPM-2021-28483 | Microsoft Exchange Server Uzaktan Kod Yürütme Güvenlik Açığı
Bu güncellemeler, aşağıdaki belirli Exchange Server sürümleri için mevcuttur:

 Exchange Sunucusu 2013 CU23

 Exchange Server 2016 CU19 ve 20 PB
 Exchange Server 2019 CU8 ve CU9

Bu zafiyetlerden etkilenmemek adına Exchange sunucularının mevcut environment yapısındaki

envanterinin çıkarılıp, güncel yama kontrollerinin sağlanması adına aşağıda belirtilen yol izlenebilir:

Sunucularınızın envanterini çıkarmak için GitHub'dan indirilebilen (en son sürümü kullanın) Exchange
Server Durum Denetleyicisi komut dosyasını kullanın. Bu komut dosyasını çalıştırmak, Exchange
Sunucularınızdan herhangi birinin güncellemelerde (CU'lar ve SU'lar) geride olup olmadığını size
söyleyecektir.

https://aka.ms/ExchangeUpdateWizard adresine gidin ve şu anda çalışan CU'nuzu ve hedef CU'nuzu seçin.

Ardından, ortamınız için yol tarifi almak üzere "Adımları söyle" düğmesini tıklayın.

Bu güncelleştirmeler sırasında/sonucunda oluşabilecek “bilinen” sorunlar

Normal modda (başka bir ifadeyle, yönetici olarak değil) çalıştırmak için güncelleştirme dosyasına (.msp)
çift tıklayarak bu güvenlik güncelleştirmesini el ile yüklemeye çalışırsanız, bazı dosyalar doğru
güncelleştirilmez.

 Bu sorun oluştuğunda, hata iletisi veya güvenlik güncelleştirmenin doğru şekilde yüklenmemiş
olduğuna ilişkin bir gösterge almazsınız. Bununla birlikte, Web üzerinde Outlook (OWA) ve
Exchange Denetim Masası (ECP) çalışmayı durdurabilir.

Bu sorun, Kullanıcı Hesabı Denetimi (UAC) kullanan sunucularda oluşur. Bu sorun, güvenlik
güncelleştirmesini Exchange ile ilgili bazı hizmetleri doğru şekilde durdurmama nedeniyle oluşur.
  Bu sorunu önlemek için, bu güvenlik güncelleştirmesini el ile yüklemek için bu adımları izleyin.

1. Başlat öğesine cmd yazın.

2. Komut İstemi'ne sağ tıklayın ve ardından Yönetici olarak çalıştır öğesini seçin.

3. Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, varsayılan eylemin istediğiniz

eylem olduğunu doğrulayın ve sonra Devam'ı seçin.

4. .msp dosyasının tam yolunu yazın ve Enter tuşuna basın.

 Bu güvenlik güncelleştirmesini yükledikten sonra Exchange hizmetleri devre dışı durumda

kalabilir. Bunun nedeni güncelleştirmenin doğru şekilde yüklenmemiş olduğunu gösterir.

Bu sorunu çözmek için,

Hizmet Yöneticisi'ni kullanarak başlangıç türünü otomatik olarak “geri yükleyebilir” ve etkilenen Exchange
hizmetlerini el ile başlatabilirsiniz. Ayrıca bu sorunu önlemek için yönetici olarak ilgili güvenlik
güncelleştirmesini çalıştırın.

Web tarayıcısında üçüncü taraf tanımlama bilgilerini engelleyseniz, belirli bir eklentiye güvenme
seçeneğini seçmeye devam ediyor bile olsanız, sürekli olarak belirli bir eklentiye güvenmeniz istenebilir.
Bu sorun, gizlilik penceresi modlarında da ortaya çıkar (Microsoft Edge'de InPrivate modu gibi). Bu sorun,
tarayıcı kısıtlamaları yanıtın kaydedileni engellemesi nedeniyle oluşur. Yanıtı kaydetmek ve eklentiyi
etkinleştirmek için, tarayıcı ayarlarında OWA'ya veya Office Online Server'a barındıran etki alanı için
üçüncü taraf tanımlama bilgilerini etkinleştirmeniz gerekir. Bu ayarı etkinleştirmek için, tarayıcının belirli
destek belgelerine bakabilirsiniz.

Proof of Concept

Yayınlandığı tarihte, yeni açıklanan dört Exchange Server güvenlik açığından hiçbiri için açıklanmış bir (poc)
istismar komut dosyasına rastlanılmadı. İlerleyen günlerde yayınlanacağı düşünülmektedir.

Kaynaklar
 https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
 https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-
kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064
 https://www.tenable.com/blog/cve-2021-28480-cve-2021-28481-cve-2021-28482-cve-2021-28483-four-critical-microsoft-exchange
 https://twitter.com/certbund/status/1382032279996932098
 https://support.microsoft.com/en-us/topic/description-o