Barikat Siber Güvenlik Logo

Microsoft Exchange Server Zero-day Zafiyetleri (ProxyLogon) – Güncelleme

Microsoft Exchange Server Zero-day Zafiyetleri (ProxyLogon) – Güncelleme  | Barikat Siber Güvenlik

Microsoft Exchange Server Zero-day Zafiyetleri (ProxyLogon) – Güncelleme

17/03/2021

Bilindiği gibi Microsoft 2 Mart’ta Exchange sunucuların bulutta olmayan versiyonları için çoklu sıfırıncı gün zafiyet bildirimi yapmış ve yamalarını yayınlamıştı. Zafiyetten yararlanan saldırılar zafiyetler içinde yer alan temel açıklığın adını alarak ProxyLogon olarak anılmaya başladı. Barikat’ın belirtilen zafiyetlere ilişkin detaylı bildirimine ulaşmak için https://guvenlikzafiyet.barikat.com.tr/zafiyet/mart-2021-ms-exchange-0day-bildirimleri adresini ziyaret ediniz.


Şimdiye kadar görülen yaygın ProxyLogon saldırıları, istismar edilen Exchange sunucularda bulunan webshell’leri içermektedir. Bununla birlikte saldırganlar tarafından bu webshell’ler taranarak fidye yazılımları, kripto madencilik yazılımları, herhangi bir giriş vektörü ile uğraşmadan dağıtılabilir hale geldi. Söz konusu webshell’ler zafiyeti olan bir sisteme yüklendikten sonra yamalar geçilmiş olsa bile herhangi bir zamanda etkinleştirilebilirler. Bu webshell’ler anlaşılabileceği gibi yerleştiren saldırganın yanı sıra herhangi bir saldırgan tarafından da kullanılabilir. Microsoft’un başta açıkladığı gibi devlet destekli bir saldırı türü olmaktan artık uzakta.


Microsoft, webshell’leri hedef alan yeni bir fidye yazılım tehdidini bildirdi. Yeni zararlının adı DearCry olarak bildirildi.


ProxyLogon zafiyetleri için, yayınlanan tarihten bugüne kadar gelişmeleri özetlemek gerekirse:




Zafiyet Grubu ile İlgili Özet Bilgiler


CVE-2021-26855: CVSS 9.1:Kimliği doğrulanmamış saldırganlar tarafından hazırlanmış HTTP isteklerinin gönderilmesine yol açan bir Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığı. Hatanın tetiklenmesi için sunucuların 443.port üzerinden güvenilmeyen bağlantıları kabul edebiliyor olması gerekir.


CVE-2021-26857: CVSS 7.8:Exchange Unified Messaging Service'nde, SYSTEM ile kod çalıştırmaya olanak tanıyan, güvenlik açığı. Ancak bu güvenlik açığının başka veya çalınmış kimlik bilgileriyle birleştirilmesi gerekir.


CVE-2021-26858: CVSS 7.8:Kimlik doğrulama sonrası dosya ve dosya yolları üzerinde manipülasyona olanak sağlayan güvenlik açığı.


CVE-2021-27065: CVSS 7.8:Kimlik doğrulama sonrası dosya ve dosya yolları üzerinde manipülasyona olanak sağlayan güvenlik açığı.


Bu zafiyetler bir saldırı zincirinde kullanılırsa, tüm bu güvenlik zafiyetleri Uzaktan Kod Yürütme (RCE), sunucu ele geçirme, arka kapılar, veri sızdırma ve potansiyel olarak daha fazla kötü amaçlı yazılım dağıtımına yol açabilir.


Aşağıdaki infografik’te 14.03.2020 tarihi itibariyle potansiyel zafiyet sayıları ülke bazında görüntülenebilir.




SUNUCULARIN ZAFİYET KONTROLLERİ VE ALINMASI GEREKEN ÖNLEMLER


Microsoft, BT yöneticilerini ve müşterilerini güvenlik yamalarını hemen geçmek için çağrıda bulundu. Ancak, yamaların uygulanması sistemlerin önceden saldırıya maruz kalmadığı anlamına gelmemektedir.


Microsoft, potansiyel olarak etkilenen sunuculardaki webshell’leri taramak ve kaldırmak için Güvenlik Tarayıcısı olarak çalışması amacıyla Safety Scanner tool (MSERT) bir güncelleme yayınladı. Bu aracın kullanılması tespit ve müdahalede kullanılması tavsiye edilmektedir.


Microsoft’un yayınlamış olduğu araçların ve güncellemelerin
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/ takip edilmesi önerilmektedir.


Yine Microsoft tarafından yayınlanan emarelerin
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log adresi üzerinden takip edilmesi önerilmektedir.


Microsoft tarafından ayrıntılı tespit ve müdahale adımlarının rehberi https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/ adresinde yayınlanmaktadır.


Ayrıca yazının sonunda güncel emareler yer almaktadır.


SIEM üzerinde gerekli emareleri içeren kuralları oluşturmanız bu zafiyetlere bağlı, oluşabilecek herhangi bir aktivitenin erken tespit edilmesine olanak tanıyacaktır.


Webshell’leri görülür ise veri sızıntısı, yetkisiz hesap erişimi ve yatayda yayılmaları tespit etmek üzere olay müdahale planınının derhal başlatılması tavsiye edilmektedir.



GÜNCEL EMARELER


Webshell Dosya Yolları:

  • C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServerProxy.aspx
  • C:\inetpub\wwwroot\aspnet_client\system_web\r1BMaJKT.aspx
  • C:\inetpub\wwwroot\aspnet_client\system_web\[RANDOM].aspx
  • C:\inetpub\wwwroot\aspnet_client\supp0rt.aspx
  • C:\inetpub\wwwroot\aspnet_client\discover.aspx

  • Webshell Dosya Adları:

  • Regex: [0-9a-zA-Z]{8}.aspx
  • aspnet_client.aspx
  • aspnet_iisstart.aspx
  • aspnet_www.aspx
  • aspnettest.aspx
  • discover.aspx
  • document.aspx
  • error.aspx
  • errorcheck.aspx
  • errorEE.aspx
  • errorEEE.aspx
  • errorEW.aspx
  • errorFF.aspx
  • healthcheck.aspx
  • help.aspx
  • HttpProxy.aspx
  • Logout.aspx
  • MultiUp.aspx
  • one.aspx
  • OutlookEN.aspx
  • OutlookJP.aspx
  • OutlookRU.aspx
  • RedirSuiteServerProxy.aspx
  • shell.aspx
  • shellex.aspx
  • supp0rt.aspx
  • system_web.aspx
  • t.aspx
  • TimeoutLogout.aspx
  • web.aspx
  • web.aspx
  • xx.aspx

  • İlgili Şüpheli Komutlar

  • “cmd” /c cd /d “C:\\inetpub\\wwwroot\\aspnet_client\\system_web”&net group “Exchange Organization administrators” administrator /del /domain&echo [S]&cd&echo [E]
  • wmic /node:$NODE$ /user:$USER$ /password:$PASSWORD$ process call create “powershell -exec bypass -file c:\programdata\payloadDns.ps1”
  • “cmd.exe” /c powershell -exec bypass -file c:\programdata\bot.ps1
  • net group “Exchange Servers” /DOMAIN
  • cmd /c start c:\windows\temp\xx.bat
  • net group “Exchange Organization Administrators” /domain
  • dsquery server -limit 0
  • net group [REDUCATED] /domain
  • “cmd” /c cd /d “C:\\inetpub\\wwwroot\\aspnet_client\\system_web”&arp -a&echo [S]&cd&echo [E]
  • net use \\[REDUCATED] [PASSWORD] /user:[USER]
  • powershell.exe -PSconsoleFile “C:\Program Files\Microsoft\Exchange Server\V15\Bin\exshell.psc1” -Command “.’C:\windows\help\help\1.ps1′”
  • nltest /domain_trusts
  • “cmd” /c cd /d “C:\\inetpub\\wwwroot\\aspnet_client\\system_web”&wmic process call create “reg save hklm\sam c:\programdata\$FILE_NAME$.log &echo [S]&cd&echo [E]

  • Detaylar

  • https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers
  • https://news.sophos.com/en-us/2021/03/17/mtr-in-real-time-exchange-proxylogon-edition/
  • https://bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are
  • https://us-cert.cisa.gov/ncas/current-activity/2021/03/13/updates-microsoft-exchange-server-vulnerabilities
  • https://blog.paloaltonetworks.com/security-operations/attacks-targeting-microsoft-exchange/
  • https://www.shadowserver.org/news/shadowserver-special-reports-exchange-scanning-4/
  • Sosyal Medyada Paylaş