ProxyShell: Attackers Actively Scanning for Vulnerable Microsoft Exchange Servers (CVE-2021-34473)
Geçtiğimiz hafta Black Hat USA ve DEF CON güvenlik konferanslarında DEVCORE araştırmacısı Orange Tsai, “ProxyLogon is Just the Tip of the Iceberg: A New Attack Surface on Microsoft Exchange Server!” Black Hat sunumunda Microsoft Exchange Server’daki üç güvenlik açığını anlattı. Sunum ve video kayıtlarını aşağıda ki linklerden izlemenizi tavsiye ederim. Tüm dünya’da en yaygın mail platformlarından olan Exchange Server’a adım adım nasıl sızılabileceğini anlatmış ve 200.000$ kazanmış. Tebrikler etmek lazım 🙂
DEF CON 29 – Orange Tsai – ProxyLogon Just Tip of the Iceberg, New Attack Surface on Exchange Server
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
ProxyLogon – ProxyOracle ve ProxyShell methodları kullanılarak yapılan bu saldırıların, VPR (Vulnerability Priority Rating) skorları oldukça yüksek. CVSSv3 skoru ise 10 üzerinden 9.1 olup kritik seviye demektir. Dikkat yüksek değil kritik. Dünya üzerinde 1.900, Türkiye’de ise şu ana kadar 20 adet Exchange Server’a sızıldıgı yönünde bilgiler mevcut. USOM tarafından güvenlik bildirimleri kurumlara gönderiliyor. Etkilenen Exchange Server versiyonları aşağıdaki gibi;
- Microsoft Exchange Server 2019 Cumulative Update 9
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2019 Cumulative Update 8
- Microsoft Exchange Server 2016 Cumulative Update 19
- Microsoft Exchange Server 2016 Cumulative Update 20
En güncel Cumulative Update ve Security Update’leri yüklemelisiniz. Exchange Server 2019 için önce CU10, üzerine CU 10 Jul21SU yüklenmelidir.