Şubat ayında Microsoft Exchange Server uygulamaları için duyurulan bir güvenlik açığından bahsetmek istiyorum. Microsoft bu açığı kritik olarak değerlendirmemiş ancak birazdan anlattıklarımı okuduktan sonra sizlerde açığın aslında kritik olduğunu anlayacaksınız. Sizlere tavsiyem bu açığı bir an önce kapatmanız yönündedir.
CVE-2020-0688 ya da uzun adı ile “Microsoft Exchange Validation Key Remote Code Execution Vulnerability”, Microsoft Exchange 2010 ve sonrası versiyonlarının kurulumu sırasında sistemin benzersiz anahtar üretememesi durumunda, ilgili sunucu üzerinde uzaktan kod yürütülmesine olanak veren açıktır. Bu açıktan faydalanılarak, parolası bilinen herhangi bir son kullanıcı hesabı (hesabın kesinlikle yönetici haklarına sahip olmasına gerek yok) ile tüm domainin ele geçirilmesi mümkündür.
Bu konuda örnek bir video hazırlanmış ve saldırının nasıl kolay gerçekleştirilebildiği gözler önüne serilmiştir. Videoda kişinin birkaç kolay adımda Microsoft Exchange 2019 Cumulative Update 3 kurulu sistem üzerinde hesap makinesi uygulamasını SİSTEM(SYSTEM) hesabı hakları ile çalıştırdığını görebilirsiniz.
Microsoft Exchange gibi şirket/firma/kurum/kuruluş çalışanlarının neredeyse tamamının kullandığı ve geniş yetkilere sahip yönetici hesapları ile yönetilen bir sistemde uzaktan kod çalıştırılarak bütün ağın ele geçirilmesi mümkündür.
Bu açıklıktan korunmanın en iyi yolu tabi ki sistemlere yama geçmektir. Ortamınızda bulunan Exchange sistemine uygun yamayı aşağıda bulunan linkten indirebilirsiniz.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
Yamayı mutlaka Yönetici Hakları ile (Run as administrator) açtığınız bir komut satırında veya powershell penceresi içinden çağırın.
Ancak acilen yama geçemeyecek ya da yama geçse de ek güvenlik önlemi almak isteyen okuyucular aşağıdaki önerimi değerlendirebilirler;
Mümkünse Microsoft Exchange hizmetini dış ağlardan erişilebilir kullanmayın. Ancak bu durum söz konusu değilse Microsoft Exchange hizmetlerinin(OWA, ECP, Activesync vs.) bir vekil sunucu(Proxy) üzerinden yayınlandığından emin olun. Kullanacağınız vekil sunucunun Application Aware olması bu tür saldırılara karşı korunmada fayda sağlayacaktır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
