Kategoriler
CloudFlare

Protecting against Microsoft Exchange Server vulnerabilities

Cloudflare WAF ve Cloudflare Specials kural setini etkinleştirmek, yamalanmamış CVE’lerin istismarına karşı koruma sağlar: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065.

Cloudflare, müşterileri kısa süre önce Microsoft Exchange Server’da bulunan bir dizi uzaktan yararlanılabilir güvenlik açığına karşı koruyan yönetilen kurallar uyguladı. Cloudflare Specials kural setinin etkin olduğu Web Uygulaması Güvenlik Duvarı müşterileri, CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 ve CVE-2021-27065’e karşı otomatik olarak korunur.

Exchange Server 2013, 2016 veya 2019 çalıştırıyorsanız ve Cloudflare Specials kural kümesini etkinleştirmediyseniz, kesinlikle yapmanızı öneririz. Şirket içi sistemlerinize hemen yama uygulamak için Microsoft’un acil önerisini de takip etmelisiniz . Bu güvenlik açıkları, saldırganlar tarafından e-posta gelen kutusu içeriğinden dışarı sızmak ve kuruluşların BT sistemleri içinde yanal olarak hareket etmek için vahşi ortamda etkin bir şekilde istismar edilmektedir.

Kenar Azaltma

Cloudflare WAF’ı çalıştırıyorsanız ve Cloudflare Specials kural setini etkinleştirdiyseniz, yapmanız gereken başka bir şey yoktur. Etkin sömürü girişiminde bulunulduğunda, bu kuralları hemen “Engelle” modunda dağıtmak gibi alışılmadık bir adımı attık .

Kuralları herhangi bir nedenle devre dışı bırakmak isterseniz , örneğin yanlış pozitif azaltma yaşıyorsanız, aşağıdaki talimatları izleyerek bunu yapabilirsiniz:

  1. Cloudflare Dashboard’a giriş yapın ve Cloudflare Firewall sekmesine ve ardından Managed Rules’a tıklayın.
  2. Cloudflare Yönetilen Kural Kümesi kartının altındaki “Gelişmiş” bağlantısını tıklayın ve kural kimliği 100179’u arayın. Uygun herhangi bir işlemi seçin veya kuralı devre dışı bırakın.
  3. Kural kimliği 100181 için 2. adımı tekrarlayın.

Sunucu Tarafı Azaltma

Uçta saldırıları engellemenin yanı sıra, şirket içi sistemlerinize derhal yama yapmak için Microsoft’un acil önerilerini uygulamanızı öneririz . Sistemlerine hemen yama uygulayamayanlar için, Microsoft dün, uygulanabilecek geçici azaltıcı önlemler yayınladı .

Sisteminizin (hala) istismar edilebilir olup olmadığını belirlemek için Microsoft tarafından GitHub’a gönderilen bir Nmap komut dosyasını çalıştırabilirsiniz: https://github.com/microsoft/CSS-Exchange/blob/main/Security/http-vuln-cve2021-26855 .nse

Güvenlik Açığı Ayrıntıları

Doğada gözlemlenen saldırılar, e-posta gelen kutularının dışarı sızmasına ve birbirine zincirlendiğinde uzaktan kod yürütülmesine neden olabilecek birden çok CVE’den yararlanır. Volexity’deki güvenlik araştırmacıları, sıfırıncı gün güvenlik açıklarının ayrıntılı bir analizini yayınladı .

Kısaca saldırganlar:

  1. Öncelikle, isteğe bağlı HTTP istekleri göndermek ve Microsoft Exchange sunucusu olarak kimlik doğrulamak için CVE-2021-26855 olarak belgelenen bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığından yararlanılması.
  2. CVE-2021-26857’de belgelendiği gibi, Birleşik Mesajlaşma Hizmeti tarafından güvenli olmayan bir şekilde serileştirilmiş SOAP yüklerini göndermek için bu SİSTEM düzeyinde kimlik doğrulamasını kullanma . Kötü amaçlı SOAP yükünün bir örneği, yukarıda bağlantısı verilen Volexity gönderisinde bulunabilir.
  3. Ek olarak, CVE-2021-26858 ve CVE-2021-27065’ten yararlanarak, sistemin daha fazla sömürülmesine ve diğer sistemlere ve ağlara yanal olarak hareket etmesine izin veren web kabukları gibi rastgele dosyalar yüklemek. Bu dosya yazma işlemleri kimlik doğrulaması gerektirir ancak bu CVE-2021-26855 kullanılarak atlanabilir .

Yukarıda listelenen 4 CVE, yakın zamanda konuşlandırılan Cloudflare Specials kuralları tarafından engellenmiştir: 100179 ve 100181. Ayrıca, varsayılan olarak Engelleme özelliği de bulunan mevcut kural kimliği 100173, belirli komut dosyalarının yüklenmesini engelleyerek güvenlik açığını kısmen azaltır.

Ek Öneriler

Kuruluşlar, bir Sıfır Güven modeli benimseyerek ve Exchange sunucusunu yalnızca güvenilir bağlantılar için kullanılabilir hale getirerek bu tür saldırılara karşı ek koruma sağlayabilirler. CVE yönlendirme önerir ortak uç noktalara ulaşmak için teşebbüslerini engellemek için, bir VPN veya başka çözümler dağıtma. Cloudflare WAF’ın sunduğu kenar azaltmalarına ek olarak, ekibiniz tüm yetkisiz istekleri engellemek için Cloudflare for Teams kullanarak Exchange sunucunuzu koruyabilir

Kaynak:https://blog.cloudflare.com/protecting-against-microsoft-exchange-server-cves/

Hayat Paylaşınca Güzel: