HAFNIUM targeting Exchange Servers with 0-day exploits

Covid19 Pandemisi ile birlikte uzaktan çalışma yaygınlaştı ve bunun neticesinde Microsoft Exchange Server gibi dış dünyaya açık olan sistemlere yapılan saldırılar da artış gösterdi.

Bugün paylaşacak olduğumuz HAFNIUM targeting Exchange Servers with 0-day exploits güvenlik açığının bir benzerini son bir yıl içinde iki defa yaşadık.

Şubat 2020 Tarihinde CVE-2020-0688 | Microsoft Exchange Validation Key Remote Code Execution Vulnerability ve Eylül 2020 tarihinde CVE-2020-16875 | Microsoft Exchange Server Remote Code Execution Vulnerability başlığı ile duyurmuş ve acil önlemlerin alınması gerektiğini paylaşmıştık.

2 Mart 2021 tarihinde yayınlanan duyuru da HAFNIUM targeting Exchange Servers with 0-day exploits güvenlik açığının Microsoft Exchange Server üzerinde 4 farklı güvenlik açığına neden olduğu paylaşılmışdı ve bu güvenlik açıkları CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 kodlarına sahiptir.

Bu güvenlik açığı, bir saldırı zincirinin parçasıdır. İlk saldırı, Exchange sunucusuna güvenilmeyen bir bağlantı kurma yeteneğini gerektirir. Bu, güvenilmeyen bağlantıları kısıtlamak, Exchange sunucusunu dış dünyadan ayırmak yada araya VPN, WAF, APPFilter gibi güvenlik çözümleri kurarak ön koruma sağlanabilir. Bu ön koruma, saldırının yalnızca ilk kısmına karşı koruma sağlayacaktır! Bir saldırganın erişimi zaten varsa veya bir yöneticiyi kötü amaçlı bir dosyayı açmaya ikna edebiliyorsa, zincirin diğer bölümleri tetiklenebilir. Saldırının ikinci kısmına koruma sağlamak için Exchange Sunucularına yamaların yüklenmesi gerekmektedir.

web application firewall

Microsoft Exchange Server şekli nedeniyle dış dünyaya açık olmak zorundadır ve bu zorunluluk da ek güvenlik yatırımlarını ve güvenlik sıkılaştırma işlemlerini istemektedir. WAF, APP Filter gibi güvenlik çözümlerini öneriyor olsak bile bu güvenlik çözümlerinin maliyetleri her kuruluş tarafından karşılanamamaktadır. Bu güvenlik çözümlerine sahip olmayan kurumlar için Exchange Server Güvenlik Sıkılaştırma çalışmalarını ve ilk adım olarak da Exchange Control Panel Erişim Sınırlama işlemlerinin yapılmasını önermekteyiz.

microsoft update catalog KB5000871

Microsoft Güvenlik Yanıt Merkezi (MSRC) CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065 güvenlik açıkları için Çoklu Güvenlik Güncellemeleri yayınladı. KB5000871  Güvenlik yamaları Exchange Server 2013, Exchange Server 2016 ve Exchange Server 2019 için hazır durumda.

Exchange Server 2010 End of Support olduğu için KB5000871 güvenlik paketi Exchange Server 2010 için uyumlu değildir.

HAFNIUM targeting Exchange Servers with 0-day exploits güvenlik açıklarını kapatabilmek için KB5000871 güvenlik paketini yüklememiz tek başına yeterli değildir. KB5000871 güvenlik paketi Exchange Server 2010 için uyumlu olmadığı gibi CU sürümü eski olan Exchange Server için de uyumlu değildir. KB5000871 Güvenlik paketlerini yükleyebilmek için öncelikle Exchange Server larımızı güncel CU seviyesine yükseltmemiz gerekmektedir.

Exchange Server 2019, Exchange Server 2016 ve Exchange Server 2013 Security Update KB5000871

Microsoft Exchange Server 2019 Cumulative Update Upgrade

Exchange Server sürümü aşağıda ki Exchange Server sürümlerinde değilse öncelikle en son yada bir önce Cumulative Update Paketini yüklemeniz gerekmektedir.

• Exchange Server 2019 CU7 ve CU8
• Exchange Server 2016 CU18 ve CU19
• Exchange Server 2013 CU23

ExchangeServer Versions

Aşağıda ki komut ile Exchange Organizasyonu içinde bulunan Exchange sunucuları ve sahip oldukları Exchange Server sürümünü öğrebilirsiniz.

Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion

Exchange Server 2019 CU7

Her bir Exchange server üzerinde ayrı-ayrı kontrol yapıp, mevcut sahip olunan Exchange server sürümünü sunucu seviyesinde öğrenebilirsiniz.

Exchange Server 2019 CU7 KB5000871 Installation

KB5000871 güvenlik paketi her bir Exchange Server Sürümü için ayrı-ayrı yayınlandı. Cumulative Update güncelleştirme işlemini yaptıktan sonra aşağıda ki adreslerden yapınıza uygun güvenlik paketine ulaşabilirsiniz.

• Security Update For Exchange Server 2013 CU23 (KB5000871)
• Security Update For Exchange Server 2016 CU18 (KB5000871)
• Security Update For Exchange Server 2016 CU19 (KB5000871)
• Security Update For Exchange Server 2019 CU7 (KB5000871)
• Security Update For Exchange Server 2019 CU8 (KB5000871)

Exchange Server 2019 CU8 KB5000871 Completed

KB5000871 güvenlik paketi her bir Exchange server sürümü için ayrı olsa bile kurulum yöntemi aynıdır. İndirilen güvenlik yamaları yönetici hesabı ile çalıştırılacak ve yükleme işlemi tamamlandıktan sonra yeniden başlatma işleminden sonra etkin duruma gelecektir.

Microsoft Anti-Malware Safety Scanner

Microsoft Güvenlik Yanıt Merkezi bu güvenlik açığı için MSERT.exe aracını oluşturdu. KB5000871 güvenlik paketi yükleme işleminden sonra mevcut güvenlik açıklarının Exchange Server üzerinde açık olup/olmadığını kontrol etmek için bu aracı çalıştırmanızı önermekteyiz.

Microsoft Anti-Malware Safety Scan Results

Güncelleştirme işlemleri tamamlandıktan sonra Outlook Web Access (OWA) ve Exchange Control Panel (ECP) etkilenebilir. Eğer OWA yada ECP üzerinde bir problem yaşarsanız  Exchange Server 2019 CU4 KB4536987 Güncelleştirmesi Sonrası Yaşanılan ECP ve Owa Problem Çözümü konu başlığı ile paylaşmış olduğumuz makaleyi inceleyebilirsiniz.

Exchange Server 2010 Security Update KB5000978

HAFNIUM targeting Exchange Servers with 0-day exploits güvenlik açığının etkisi Amerika Birleşik Devletleri başta olmak üzere tüm dünyada etkili oldu. Sağlık hizmetleri, hukuk firmaları, yüksek öğretim kurumları, savunma sanayi ve politika düşünce kuruluşları gibi kritik iş kolları da bu güvenlik açığından etkilendi.

Güvenlik açığında ki etki ve hedef alınan kuruluşların önemli olması nedeniyle Security Update KB5000978 kodu ile Exchange Server 2010 Sp3 için de güvenlik güncelleştirmesi yayınlandı.

Update Rollup 32 for Exchange Server 2010 Service Pack 3 (KB5000978)

Yayınlanan Security Update KB5000978 Exchange Server 2010 Service Pack 3 Update Rollup 32 için geçerli. Exchange Server 2010 Müşterilerinin HAFNIUM targeting Exchange Servers with 0-day exploits güvenlik açığını kapatmaları için öncelikle Exchange Server Service Pack 3 Update Rollup 32 paketine yükseltme yapmaları gerekmektedir.

March 2021 Exchange Server Security Updates

March 2021 Exchange Server Security Updates

Güvenlik açığının ve hedef alınan sektörlerin kritik olması nedeniyle son 1o gün içinde çok fazla güncelleme yaşadık.

Günümüz de kullanılan Exchange Server sürümleri tek düzey olmamakta ve her kuruluş farklı sürüm ve versiyonları kullanmakta. Durum böyle olunca her kuruluşun beklentisi de farklı olmakta. Kimi kuruluş direk olarak güvenlik yamasını yükledi ve güvenlik açığını kapattı, kimi kuruluşlar ise öncelikle eksik yamaları tamamladı yada Exchange server Upgrade projelerine başladı.

Yayınlanan son duyuru sonrasında eski sürüm Exchange Server lar için de güvenlik yamaları hızlıca yüklenebilir oldu. Exchange Server üzerinde Cumulative Update paketlerini yüklemeden HAFNIUM targeting Exchange Servers with 0-day exploits açığını kapatabilir durumdasınız.

Son yayınlanan paketler ile;

• Exchange Server 2013 için Cumulative Update 21
• Exchange Server 2016 için Cumulative Update 12
• Exchange Server 2019 için Cumulative Update 4

sürümlerine sahip olmanız yeterlidir