Bu yazıda, kişisel kanaatime göre microsoft firmasının bugüne dek yaşadığı en büyük zaafiyet olan ve bilinen ismiyle HAFNIUM (Çinli) grubu tarafından istismar edildiği söylenen 0-day zaafiyetine genel bir bakış, tespit ve korunma yollarını irdeleyeceğim.
Konu uzun olduğundan öncelikle bir fihrist yapmanın doğru olduğunu düşünüyorum
+ Nedir ?
+ Zaafiyet var mı ya da oluşmuş mu nasıl tespit edilir ?
+ Nasıl Yamanır ?
+ Nasıl önlenebilir?
Nedir?
Herkes artık biliyor olsa da, tamamen konuya yabancı birinin dahi anlayacağı şekilde yazmaya gayret ettiğimden dolayı, 0-day nedir hemen üzerinden geçmek istiyorum.
0-day : henüz yamanmamış, varlığı bilinmeyen ve saldırganlar tarafından kullanılan zaafiyetlerdir.
02 mart 2021 Salı günü microsoft, güvenlik bloğunda bir makale yayınlayarak acil koduyla Exchange Sunucularına yama geçilmesi çağrısı yaptı. Uzaktan kod çalıştırarak yetkilendirmeyi etkisiz kılan ( authantication bypass ) bir zaafiyet tespit edilmişti.
ilgili makale :
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Bunun ardından olay öyle bir büyüdü ki, şuan norveç gibi bazı devlet tüm ülke bloğunu tarayarak hala zaafiyet bulunduran şirketleri uyarmaya başladı. Türkiye’de ise, USOM oldukça proaktif davranarak ihbar edilen bağlantı ve ip’leri engellemektedir.
Gelelim zaafiyetin kapsamına;
Exchange dışardan aşağıdaki servislere gelecek istekleri TCP isteklerini 443 nolu port ile karşılar.
Exchange ActiveSync
Autodiscover
OWA
Exchange Web Service ( EWS )
OABD
Outlook Anywhere ( RPC over HTTP )
Outlook MAPI over HTTP
yukarıda da görüleceği üzere, hemen hemen exchange’in kullandığı tüm servisler dış dünya ile haberleşmesini TCP/443 nolu port ile sağlar. yani, bütün exchange sunucularına dışarıdan HTTP(s) erişim için bu port açılmış olmalıdır.
Aşağıda listelediğim ilgili zaafiyetler zinciri ile, bu port üzerinden saldırganlar privilege escalation denilen özel ayrıcalık elde ederek, ağda her türlü kaynağa erişebildiği tespit edilmiş.
CVE-2021-26855 :
Uzaktan kod çalıştırmayı olanaklı kılan 2013,2016,2019 Exchange sistemlerini etkileyen bilinen bir açıktır .
CVE-2021-26857 :
Uzaktan kod çalıştırmayı olanaklı kılan 2010 ( UM ) 2013,2016,2019 Exchange sistemlerini etkileyen bilinen bir açıktır .
CVE-2021-26858
Uzaktan dosya yazmayı mümkün kılan bir açık, etkilenen sistemler 2013,2016,2019 Exc
CVE-2021-27065
Uzaktan dosya yazmayı mümkün kılan bir açık, etkilenen sistemler 2013,2016,2019 Exc
Öncelikle sisteminizde böyle bir açık var mı bunun tespitini yapmak durumundasınız .
Nasıl Tespit Edilir ?
Bu noktada elinizdeki alet çantasında neler olduğu önemlidir , splunk gibi solarwinds gibi bir SIEM çözümü kullanıyorsanız ve uygun kurallar yazılmış ise zaafiyetin tespiti daha kolaydır. Zaafiyetin tespiti noktasında aşağıda bazı ip listeleri ve detection ( tespit ) araçları paylaşacağım.
Güvenlik araştırmacıları, istismar edilen sunucu sistemlerinde yaptıkları araştırmalarda aşağıdaki ip listesine giden anormal trafik tespit ettiler. Bu ip listesine giden trafiğiniz var mı kontrol sağlayabilirsiniz.
(ip’lere google botlarından korunmak amacıyla farklı karakterler eklenmiştir)
103.77.192[.]219
104.140.114[.]110
104.250.191[.]110
108.61.246[.]56
149.28.14[.]163
157.230.221[.]198
167.99.168[.]251
185.250.151[.]72
192.81.208[.]169
203.160.69[.]66
211.56.98[.]146
5.254.43[.]18
5.2.69[.]14
80.92.205[.]81
91.192.103[.]43
ayrıca aşağıdaki tespit araçlarına göz atabilirsiniz. fakat microsoft veya kullandığınız işletim sistemlerinin resmi sayfalarından indirmediğiniz her aracı çalıştırmadan önce mutlaka ama mutlaka sandbox tarzı uygulamalarda çalıştırarak yapacağı etkiyi gözlemleyiniz. Aksi durumda buradan paylaşılan ve zarar göreceğiniz kod parçacıklarından dolayı sorumluluk kabul etmeyeceğimi peşinen bildiririm.
Değişikliklerin izlenmesi :
Saldırganlar aşağıdaki dosya yollarına yazmaktalar. Dosya değişiklik izlemesi ile aşağıdaki dosya yollarını kontrol ediniz : https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCs-ExchangeServerVulnerabilitiesDisclosedMarch2021.csv
Sisteminizin açık barındırıp barındırmadığının tespiti için
Nmap script : https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse
Microsoft tarafından yayınlanan test scripti : https://github.com/microsoft/CSS-Exchange/tree/main/Security
Ayrıca exchange server üzerine yapılandırma değişikliklerini takip edeceğiniz bir script hem korunma hem risk azaltma, hem de önleme anlamında size çok yardımcı olacaktır : https://github.com/dpaulson45/HealthChecker
Önleme ve risk azaltma yöntemleri :
Microsoft tarafından yayınlanan güncellemeleri mutlaka ACİL olarak yapınız
Güncelleme dökümanına ( ENG) ulaşmak için : TIKLAYINIZ
Hakan Uzuner tarafından yayınlanan güncelleme dökümanına göz atınız ( TR ) : https://www.hakanuzuner.com/hafnium-exchange-servers-with-0-day-exploits-icin-nasil-guncelleme-yukleyebilirim/
Acil yama geçilmeyen sistemlerde risk azaltmak için alınabilecek önlemlere göz atınız :https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
Konunun önemini tekrardan hatırlatır, acil güncelleme, güncelleme yapılamıyorsa risk azaltma yöntemlerinin uygulanmasını tavsiye ederim.
