Microsoft Exchange Server Security Update Paketleri bir güvenlik güncelleştirmesidir ve Microsoft Exchange Server ‘daki güvenlik açıklarını giderir. Bu güvenlik açıkları Exchange Server Cumulative Update Paketleri ile karıştırılıyor olsa bile amaçları farklıdır.
Microsoft Exchange Server Security Update Paketleri makalesi içinde aşağıda ki başlıklar hakkında bilgilere sahip olacaksınız.
1. Microsoft Exchange Server Security Update Nedir?
Microsoft Exchange Server Security Update paketleri, mevcut bir sistem üzerinde ki zafiyetleri kapatmak için yayınlanır. Hiç bir Microsoft Exchange Server Security Update yaması Exchange Server üzerinde hiç bir yenilik getirmez ve mevcut hataları onarmaz. Yenilikler Exchange Server Cumulative Update Paketleri ve yeni Exchange Server sürümleri ile yapılmaktadır.
Microsoft Exhange Server Cumulative Update Paketi ve Microsoft Exchange Server Security Update Paketi arasında ki en temel fark, Exchange Server üzerinde ki bir hata eğer güvenlik zafiyetine sahip değilse bu hata Exhange Server Cumulative Update Paketi ile çözüme kavuşur. Kullanmakta olduğunuz Exchange Server üzerinde bir güvenlik açığı varsa bu açıklar da Microsoft Exchange Server Security Update Paketleri ile kapatılır.
Microsoft Exhange Server Cumulative Update Paketi ile için bilinmesi gereken diğer önemli fark her bir Microsoft Exhange Server Cumulative Update Paketi öncesinde çıkan bütün Security Update Paketlerini, Critical Security Update Paketlerini ve Exchange Server Cumulative Update Paketlerini de kapsamaktadır.
2. Microsoft Exchange Server Security Update Ne zaman Yüklenmeli?
Hemen, en kısa sürede, derhal…
Microsoft Exhange Server Cumulative Update Paketi ve Exchange Server Security Update Paketleri arasında ki en temel farkı öğrenmiş olduk. Diğer ikinci fark ise Microsoft Exhange Server Cumulative Update Paketi her 3 ayda bir yayınlanırken Exchange Server Security Update Paketleri düzensiz bir sırada yayınlanmaktadır.
Exchange Server 2019 Build Numbers
Yukarıda Microsoft Exchange server 2019 için yayınlanan Microsoft Exchange server Security Update Paket yayın akışını görmektesiniz. Bu yayın akışını takip etmek için bu adresi ziyaret edebilirsiniz.
Ekran görüntüsünü yorumlamamız gerekirse, Exchange Server 2019 CU9 sürümü 15 Mart tarihinde yayınlanmış ve bu tarihten sonra 13 Nisan 2021 tarihinde Apr21SU Microsoft Exchange Server Güvenlik Güncelleştirmesi ve 11 Mayıs 2021 tarihinde ise May21SU Exchange Server Güvenlik Güncelleştirmesi yayınlanmış görülmekte.
Exchange Server 2019 CU9 için Nisan ayında ve Mayıs ayında güvenlik zafiyetleri tespit edilmiş ve bu zafiyetler planlanan yayın akışında kapatılmıştır.
Exchange Server için bir de Exchange Server Critical Update vardır ve bu critical update paketleri herhangi bir kurala bağlı değildir. Exchange Server HAFNIUM targeting Exchange Servers with 0-day exploits atağını sizlere paylaşmıştık ve bu örnekte ki gibi bir güvenlik açığı Exchange Server için yüksek zaafiyet içeriyorsa yayın akışı beklenmeksizin plansız ve hızlı bir şekilde yayınlanmaktadır.
Exchange Server Cumulative Update Paketleri yenilik ve hata giderme paketleridir ve CU ile birlikte gelen yeniliğe ihtiyacımız varsa yada mevcut sürüm üzerinde ki hatalardan etkileniyorsak Microsoft Exchange Server Cumulative Update Paketleri ni yüklemeliyiz.
Exchange Server Security Update Paketleri kullanmakta olduğumuz Exchange Server üzerinde tespit edilen güvenlik açıklarını kapatmak için yüklemeliyiz. Tespit edilen güvenlik yamasını hızlı bir şekilde, planlı bir şekilde hemen yüklememiz gerekmektedir.
Bu güvenlik açığı ile zaten yaşıyorduk hemen yüklemeyelim gibi bir tembellik yapamayız. Aksine, evet bu açık ile yaşıyorduk ama bu açığı biz bilmediğimiz gibi saldırganlar da bilmiyordu. Şimdi ise saldırganlarda bildiği için hızlı bir şekilde kapatmalıyız.. Planlı kesintileri belirleyip, planlanan zaman diliminde bu güvenlik yamalarını yüklemeliyiz.
Zaten, Exchange Server Security Update paketleri her ay düzenli olarak yayınlandığı için de düzenli bir iş olarak iş planımıza dahil etmeliyiz.
Exchange Server Critical Update paketleri ise haber aldığımız gibi, içermiş olduğu zafiyetin önemine bakılmaksızın ve aylık iş planımızı beklemeksizin, planlı ve kurallı bir şekilde hızlıca yüklemeliyiz.
3. Exchange Server Security Update Niçin Yüklenmeli?
Exchange Server sahip olduğu mimari gereği dış Dünya ya açık durumda çalışmakta ve bu mimarisi gereği de saldırganların sürekli takibindedir. Microsoft Exchange Server dünya üzerinde en fazla kullanılan e-posta sistemi olduğu için de sürekli güncellenmekte ve yenilenmektedir.
Microsoft Exchange Server Cumulative Update Paketleri her üç ayda bir yayınlanmaktadır ve bu da şu anlama gelmekte her üç ayda bir yeni bir Exchange Server sürümü yada özelliği piyasaya sürülmektedir. Bu kadar sık aralıklarla yapılan değişiklikler Exchange Server mimarisinde zafiyetlerin oluşmasına neden olmakta ve bu zafiyetler de her ay yayınlanan Microsoft Exchange Server Security Update paketleri ile kapatılmaktadır.
Bu zafiyetler bazen Exchange Server servislerinde oluşmakta bazen de kullanmış olduğu Windows işletim sisteminin servislerinde oluşmaktadır. Bu tespit edilen açığa göre değişiklik göstermekte ve Microsoft Exchange Server Security Update paketleri yüklenmeden önce Exchange Server üzerinden hangi açıklar vardır ve hangi değişiklikler yapılacak bunlar öğrenilmelidir.
Microsoft Exchange Server Security Update Paketleri, paketin hazırlanma döngüsünde tespit edilen güvenlik açıklarının bütününe verilen ismidir ve CVE olarak tanımlanır.
4. Common Vulnerabilities / Exposures Nedir?
Bilinen Güvenlik Açıkları ve Etkilenmeler (CVE) yani genel olarak ifşa edilen bilgi güvenliği açıklarının ve risklerin bir listesidir.
CVE, güvenlik açıklarını belirlemek ve sınıflandırmak için MITRE şirketi tarafından 1999 yılında oluşturuldu. MITRE, Amerika Birleşik Devletleri’nde federal olarak finanse edilen araştırma ve geliştirme merkezlerini işleten, kar amacı gütmeyen bir kuruluştur.
Yayınlanmış olan her bir Security Update içeriğinde yer alan CVE-Numara/Kod bilgileri MITRE tarafından sınıflandırılmakta, skoru belirlenmektedir. Skoru yüksek olan zafiyetler Critical olarak sınıflandırılmaktadır.
CVE ‘ler Microsoft Eko sistemi içinde yer alan Microsoft Exchange Server , Microsoft SQL Server , Active Directory ve Windows Server ‘lar ve daha fazla uygulama/servis için oluşturulduğu gibi Microsoft Harici üçüncü taraf bir işletim sistemi yada uygulama içinde oluşturulmaktadır.
CVE ‘ler oluşturulurken iki başlık altında bölünmektedir.
4.1 Common Vulnerabilities
Bilinen ve tespit edilen güvenlik açıklarıdır. Bu güvenlik açığı, bir bilgisayar sistemine yetkisiz erişim sağlamak veya üzerinde yetkisiz eylemler gerçekleştirmek için bir siber saldırıda yararlanılabilen bir zafiyettir.
Güvenlik açıkları, saldırganların kod çalıştırmasına, sistem belleğine erişmesine, farklı kötü amaçlı yazılım türleri yüklemesine ve hassas verileri çalmasına, yok etmesine veya değiştirmesine izin verebilir.
4.2 Common Exposures
Bir saldırganın bir sisteme veya ağa erişmesini sağlayan bir hatadır. Maruziyetler veri ihlallerine, veri sızıntılarına ve kişisel olarak tanımlanabilir bilgilerin (PII) karanlık ağda satılmasına neden olabilir. Aslında, en büyük veri ihlallerinden bazıları karmaşık siber saldırılardan ziyade kazara maruz kalmadan kaynaklanmaktadır.
5. Microsoft Exchange Server Security Update Nasıl Yüklenir?
Microsoft Exchange Server Security Update Paketi yükleme işlemleri Exchange Server Cumulative Update Paketi yükleme işlemlerine göre çok daha kolaydır.
Microsoft Exchange Server Cumulative Update paketleri; yenilik ve hata giderme paketlerini de kapsadığı için Exchange Server üzerinde ve içeriğine bağlı olarak çevre birimlerinde de değişiklik yapmaktadır.
Bütün Cumulative Update Paketleri değil ama bir çok Cumulative Update Paketleri, Active Directory Schema ‘ı üzerinde değişiklik yapmakta ve yüklenecek olan Cumulative Update paketinin içeriğine bağlı olarak Exchange Server ve çevre birimleri üzerinde de değişiklikler yapmaktadır.
Bu sebepten ötürü Microsoft Exchange Server Security Update Paket yükleme işlemleri Microsoft Exchange Server Cumulative Update Paket yükleme işlemlerine göre çok daha kolaydır.
Exchange Server 2019 Cumulative Update 8 KB5003435
Yukarıda görüldüğü gibi Exchange Server Security Update paketleri Windows Güncelleştirme işlemleriyle de yüklenebilmektedir ve bu kadar kolaydır.
Fakat bu şekilde yüklemenizi önermemekteyiz. Bu yöntem, Windows işletim sisteminin yama yönetim politikasını bağlı olduğu için, bu yükleme işlemiyle birlikte başka diğer yamalar da yüklendiği için hatalı yüklemelerin olması muhtemeldir.
Exchange Server 2019 Cumulative Update 9 KB5003435
Bu sebepten ötürü yüklemek istediğiniz Microsoft Exchange Server Security Update Paketini indirmenizi ve yönetici hesabı ile çalıştırıp kontrol ederek yükleme işlemlerini yapmanızı önermekteyiz. Her Microsoft Exchange Security Update Paketi için bu yöntemi önermekteyiz.
6. Windows Update ile Microsoft Exchange Server Security Update Yükleme Hataları
Microsoft Exchange Server ‘in yüklü bulunduğu Windows Server üzerinde Windows Update ayarlarında Quality Update özelliğ aktif durumda olursa eğer Microsoft Exchange Security Update otomatik olarak Windows Update ile yüklenecektir.
Microsoft Exchange Server Security Update paketinin bu şekilde yüklenmemesi gerektiğini ve nasıl yüklenmesi gerektiğini bir önce ki başlık olan Microsoft Exchange Server Security Update Nasıl Yüklenir bölümünde açıkladık.
Şimdi örnek bir problem ile bu uyarımızı neden yaptığımızı paylaşalım.
Microsoft Exchange Server 2019 CU12 FEB23SU 15.2.118.25
14 Şubat 2023 tarihinde Microsoft Exchange Server 2019, 2016 ve 2013 için KB5023038 numaralı Güvenlik Paketi yayınlandı. Bu güvenlik paketinin Build Number bilgisi ise yukarıda görüldüğü gibi 15.2.1118.25 olarak paylaşılmakta.
Windows Update Microsoft Exchange Server Security Update
Microsoft Exchange Server ‘in yüklenmiş olduğu Windows Server üzerindeyse Quality Update yükleme özelliği aktif durumda ve bu nedenle Microsoft Exchange Server 2019, 2016 ve 2013 güvenlik güncelleştirmesi 14 Şubat 2023 (KB5023038) otomatik olarak yüklenmiş durumda.
Bu yükleme işleminden sonra aktif çalışmakta olan Microsoft Exchange Server üzerinde herhangi bir hata olmadığını ve düşünebilirsiniz. Yapmış olduğunuz genel kontroller de bir problem de görmeyebilirsiniz.
Yukarıda paylaşmış olduğum komut ile Microsoft Exchange Server ‘in sürümünü kontrol ettiğiniz zaman Microsoft Exchange Server üzerinde ki hatayı göreceksiniz.
Microsoft Exchange Server 2019 CU12 FEB23SU 15.02.1118.022
Microsoft Exchange Server version bilgisi 15.2.1118.25 olması gerekirken hatalı version bilgisi olan 15.02.1118.022 olarak sistem tarafından görülmekte. Bu hata neden oluştu şimdi bunu söyleyelim.
14 Şubat’ta Windows Update aracılığıyla Microsoft Exchange Server 2019, 2016 ve 2013 için KB5023038 Güvenlik yaması yayınlandı ve bu güvenlik yaması da Windows update web sitelerinde paylaşıldı. Windows Server üzerinde de Microsoft Exchange Server kurulu olduğu için bu yama otomatik olarak yüklendi. Fakat Windows Update üzerinde yayınlanan KB5023038 CAB dosyası hatalıydı ve bu hatalı dosyada Microsoft Exchange Server üzerine otomatik olarak yüklendi.
Microsoft Exchange Server Security Update Nasıl Yuklenir
Oluşan bu hata hızlıca fark edildi ve Microsoft Exchange Server mühendisleri ile Windows Update Güvenlik mühendisleri hızlıca CAB dosyasını değiştirdi ve otomatik olarak yüklenen hatalı Exchange Server Güvenlik yamasını yeniledi ve yeni bir güvenlik yamasını tekrardan Windows Update sitesi üzerinde paylaştılar.
Windows Server üzerinde Quality Update özelliği aktif olan sunucular bir sonra ki güncelleme döngüsünde onarılan güvenlik yaması Microsoft Exchange Server ‘lara tekrar yüklendi.
Evet, problem hızla tespit edildi ve hızla çözüldü ama bir sonra ki senaryoda problem daha da uzun sürebilir ve farklı Exchange Server problemlerine de sebep olabilir.
Ben bu günlüğü 16 Şubat tarihinde güncellemekteyim ve Microsoft Exchange Server 14 Şubat güvenlik yaması olan KB5023038 için problemi şimdilik bulunmamakta ve Windows Update ile de yüklenebilir hale geldi.
Fakat Microsoft Exchange Server Security Update Nasıl Yüklenir bölümünde yapmış olduğum uyarıyı bir kez daha yapmakta ve her bir Microsoft Exchange Server Security Update yamasını yayınlandığı web sayfası üzerinden kontrol ederek indirmenizi ve yükleme işlemini her bir Security Update için ayrı-ayrı yapmanızı önermekteyiz.
KB5023038 yamasını buradan indirebilirsiniz.
Bu hatayı yaşadıysanız yapmanız gerekli olan bir başka kontrol ise Windows Update tarafından yayınlanan ve otomatik yüklenen hatalı Microsoft Exchange server Security Update Packet için Windows Server üzerinde ki kayıt anahtarlarının değiştip-değişmediğini ve güncellenmiş olduğunu da kontrol etmenizdir.
Microsoft Exchange Server 2019 Pach KB5023038
Microsoft Exchange Server 2019 Pach KB5023038 DisplayVersion
7. Microsoft Exchange Server Security Update Yükleme Öncesi Yapılması Gerekenler
Microsoft Exchange Server Cumulative Update Paketlerini zaten Windows Update ile yükleyemiyoruz. Bu cebimizde. Microsoft Exchange Server Security Update Paketlerini de Windows Update ile yüklemiyoruz, nedenlerini bir üst başlıkta paylaştık, bu da cebimizde.
Microsoft Exchange Server Cumulative Update ve Microsoft Exchange Server Security Update paketlerini kontrollü bir şekilde, ilgili yama paketlerini indirerek yüklememiz gerekmekte.
Bu bölümde ise yükleme işlemlerine başlamadan önce yapmamız gereken temel kontrolleri ve değişiklikleri paylaşmaktayım. Burada ki başlıklar ve yapılacak olan adımlar her bir Microsoft Exchange Server organizasyonuna bağlı olarak değişecektir, bunu da unutmayalım.
Exchange Server Veritas Backup Exe
Microsoft Exchange Server Security Update Paketini yükleyecek olduğumuz Exchange Server ‘in üzerinde üçüncü taraf yazılımlar varsa (Yedek alma, imza, Spam vb…) durdurmanızı önermekteyiz.
Exchange IIS Logs Compress and Archive PowerShell
Microsoft Exchange Server Security Update Paketini yükleyecek olduğumuz Exchange Server üzerinde Exchange Server IIS Log Temizleme ve Exchange Server Log ve ETL Files Temizleme işlemlerini yapmanızı önermekteyiz. Exchange Server üzerinde yeterli alanın kalmaması ve geçmişte biriken işlem olay günlükleri Microsoft Exchange Server Security Update Paketi yükleme işlemlerine engel oluşturacaktır.
Exchange Server 2010 DAGs Design
Mevcut Exchange Organizasyon yapısı içinde birden fazla Exchange Server bulunmakta ve bu Exchange Server ‘lar aynı Exchange Server Database Availability Group içinde çalışmakta. Bu türde çalışan Exchange Organizasyonlarında her zaman pasif güğümler üzerinde Exchange Server Security Update güncelleştirme işlemlerine başlamalıyız.
Exchange Server Role Konsolidasyon Sürecini tamamlamış olduğu için büyük yapılarda bile Exchange Server Cumulative Update güncelleştirme işlemleri çok basitdir. Eğer ortamda Exchange Server Client Access erişimini sağlayan Load Balancer varsa (F5, Kemp gibi donanımsal yada yazılımsal) bu ürünler üzerinde ek bir işlem yapılması gerekmektedir. Exchange Server Cumulative Update güncelleştirme işlemlerinde trafiğin yükleme işleminin yapıldığı Exchange Server üzerine akmaması gerekmektedir.
