Microsoft Exchange de Siber Saldırıları Önlemek

Microsoft Exchange de Siber Saldırıları Önlemek

Microsoft exchange serverları tehdit aktörleri için genel bir hedef, fakat hedef olmalarının sebebi sadece birden fazla girdi noktalarına sahip olmaları değil.Aynı zamanda bir şekilde domain hak yükseltmesi yapılarak Active Directory içinde kalıcı bir bağlantı sağlama fırsatına sahip olmaları.Bir organizasyon içinde Exchange bağlantıları aracılığıyla domainleri ortaya çıkarmak eğer güvenlik kontrolleri eksik ise çok kolay olabilir.

Aşağıdaki diyagramda gerçek dünyadaki saldırıların tehdit aktörleri tarafından nasıl gerçekleştirildiğini ve Exchange servislerin, API’lerin ve standart Outlook fonksiyonlarının kötüye kullanılarak tamamıyla domainlerin açığa çıkmasını uygulamasını göreceksiniz.

Bu saldirilari engellemek icin organizasyonlar tarafinda bir seri guvenlik onlemleri alinmali ki Microsoft Exchange baglantilari uzerinden olusacak guvenlik ihlallerindeki risk faktorleri azalsin.Bu onlemler su sekilde:

1-Gereksiz Servisleri Devre Disi Birakma
2-Iki Faktorlu Kimlik Dogrulama Aktif Edilmeli
3-LDAP Imzalari & LDAP Baglari Aktif Edilmeli
4-Etraftaki Servisler ve Makinelere Guvenlik Icin Kritik olan Guncellemeler yapilmali.

Gereksiz Servisleri Devre Disi Birakma

Microsoft Exchange yuklendiginde asagidaki servisler varsayilan olarak aktif gelir:

-Outlook Web Access(OWA) –>Outlook Web Erisimi
-Exchange Web Services(EWS) –> Web Servis Degisimi
-Exchange ActiveSync(EAS) –> ActiveSync Degisimi

Bu acik olan servislerin her biri tehdit aktorleri icin saldiri yuzeyi olusturmakta ve saldirganlar bu servislerden faydalanarak onemli kimlik bilgilerini kesfetmek, kullanicilarin maillerine erismek ve domain escalation gibi saldirilari gerceklestirme ve yurutme imkanlarina sahip olmakta. Outlook Web Erisimi domain kullanicilarinin mail kutularina disardan erisim saglamakta.Eger is(business) kisminda gereksinimler varsa Exchange Web Servisleri ve Exchange ActiveSync gibi servisler degerlendirilmeli.

EWS Erisimini Devre Disi Birakma

Web Servis Degisimi, son kullanici uygulamalarina Microsoft Exchange Server ile iletisim kurmasina izin verir.Eger Web Servis Degisimi bazi isyukleri icin gerekli degilse, guvenlik acisindan erisim kapatilmali.Microsoft Exchange Management Shell uzerinde asagidaki komutu calistirmak butun mail kutularina disaridan erisimi keser ve Outlook Web Access uzerinden mail kutularina disardan erisim kesilir.

Komut:Get-Mailbox | Set-CASMailbox -EwsEnabled $false

ActiveSync Devre Disi Birakma

ActiveSync protokolu, domain kullanicilarinin mobil cihazlar uzerinden verilerini(mail, takvim, gorevler, rehber) Microsoft Exchange mail kutularinda senkronize etmelerine izin verir.Eger herhangi bir is yuku belirlenmeyecekse ya da gerekli degilse bu protokol devre disi birakilabilir.

Komut:Get-Mailbox | Set-CasMailbox -ActiveSyncEnabled $false

Kimlik Yonetimlerini Devre Disi Birakma

Saldiri yuzeyini dusurmek ve bruteforce,password spraylama gibi saldirilarini azaltmak icin Kimlik Dogrulama fonksiyonuda kapatilmali.

EWS Kimlik Yonetimi Devre Disi Birakma

ActiveSync Kimlik Yonetimi Devre Disi Birakma

Iki Faktorlu Kimlik Dogrulama

Microsoft Exchange ile ilgili olan saldirilarin buyuk cogunlugu icin tehdit aktorlerinin kullanicilarin domain kimlik bilgilerini ele gecirmis olmasi gerek(Oltalama veya Password Sprayleme Saldirilari).Iki Faktorlu Kimlik Dogrulama uygulamasini hayata gecirmek, saldirganlardan OWA,EWS ve EAS gibi meydana cikmis servislerin saldiri yuzeylerini su sekilde onleyecektir:

1-Kullanicilarin mail kutusuna erismek ve onemli verileri toplamak
2-Yuksek basarimli oltalama saldirilarini yonetmek
3-Ag uzerinde istenildigi gibi kalici Outlook kurallari belirlemek
4-Domain’i ortaya cikarmak

Iki Faktorlu Kimlik Dogrulama fonksiyonu, guvenlik kismina bir katman daha eklemis olsa da sadece savunmanin ilk hatti olarak dusunulmeli.Diger baska onlemlerde saldirilarin uygulanmasini engellemekte.

Etraftaki Servislere ve Makinelere Guvenlik Icin Kritik olan Guncellemelerin Yapilmasi

LoopBack Kontrolu Kapatilmali

Asagidaki fotograftaki registry anahtarini silmek Microsoft tarafindan onerilmekte.Cunku Ag uzerinde bulunan Microsoft Exchange Serverin loopback adresine gonderilen NTLM kimlik dogrulamasini onlemekte.
Bu yaptirim tehdit aktorlerinin hedef mail kutusu icin herhangi bir kural ekleme ya da ortaya cikmis bir hesabi delegate(temsilci) olarak eklemesini bloke etmekte.Etkiler olarak bakarsak, emaillerin elde edilmesi ve baska kullanici gibi davranip ic agda oltalama saldirisi yapilmasini engellemekte.

Komut:reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f

EWS Kimlik Yonetimi Devre Disi Birakilmali

Exchange Push Subscription fonksiyonu kotuye kullanilarak Domain escalation gerceklestirilmesi mumkun.Microsoft bu gibi sikintilar icin cesitli versiyonlarinda yama cikartarak ActiveDirectory’e olan erisimi azaltmis oldu.

KB4471391 – Exchange 2019
KB4471392 – Exchange 2016
KB4345836 – Exchange 2013
KB4487052 – Exchange 2010

Domain escalation gibi teknikler icin Microsoft Exchange kimlik bilgileri gerekmekte ve bu kimlik bilgileri Exchange Web Service kisminda dogrulanmakta.Exchange Web Servisleri icin kimlik dogrulamayi devre disi birakmak bu saldiriyi onleyecektir.

EWS Erisimini Devre Disi Birakma

Benzer olarak Exchange Web Servislerinin mail kutularina erisiminide kisitlamak bizim icin ayni etkiyi vermekte.

Komut:Get-Mailbox | Set-CASMailbox -EwsEnabled $false

PrivExchange Saldirisini Onlemek

Saldirganlar kimlik dogrulamasi yapamamasi disinda API cagirimi yaptiklari sirada asagidaki gibi hata ile karsilacaklar ve Microsft Exchange Serverlarina erisimleri engellenecektir.

Onlem Icin Yeni Politika Yaratmak

Benjamin Delpy, twitter’da gostermis oldugu alternatif yaklasimda zafiyetleri minimuma indirmek icin bir oneride bulundu.MaxSubscriptions ayari 0’a cekilerek Microsoft Exchange serverinin Exchange Web Servislerine herhangi bir bildirim yollanmasi engellendi.

Komut:New-ThrottlingPolicy -Name NoEWSSubscription -ThrottlingPolicyScope Organization -EWSMaxSubscriptions 0

Komut:Restart-WebAppPool -Name MSExchangeServicesAppPool

Aboneligi Devre Disi Birakma

Saldirganlarin domain escalation gibi saldirilara basvurmasi engellenmis olacak ve API’ler kullanilarak abone olmalarina izin verilmeyecek.

NTLM Geciktirme Saldirisini Onlemek

Exchange Web Service kimlik dogrulamasini tamamen devre disi birakmak ayni zamanda NTLM geciktirme saldirisini da engelleyerek sifrelerin hashlerini kirmadan kullanicilarin mail kutularina erisimlerini engelleyecek.

Gelen NTLM Trafigini Kisitlamak

Eger alternatif olarak Microsoft Exchange Serverlarinda kimlik dogrulama gerekli olursa butun domain hesaplari icin NTLM trafigi engellenebilir

CVE-2018-8581 Ve ExchangeRelayX Kimlik Yonetimini Hataya Ugratmak

Bu onlem saldirganlarin NTLM gecikme saldirisini kullanarak mail kutusuna erisimini ve zararli niyetli aksiyonlarini engelleyecektir.

Outlook Kurallari

Nick Landers 2015’te kesfetti ki,Microsoft Outlook fonksiyonlarini suistimal ederek(Kurallar ve Alarmlar) uzaktan(WebDAV veya SMB Share) kod calistirabilme ve kullanicilarin hostlari uzerinde kalici bir baglanti saglayabilmek mumkun.Microsoft bunu icin yeni bir yama yayinlamis(KB3191893), bu yama da sikintinin adresini baz alarak bir registry anahtari uretildi.Bu anahtarin deger 0 olursa Outlook kurallari devre disi kalmakta.

Outlook 2016
HKEY_USERS\<SID>\Software\Microsoft\Office\16.0\Outlook\Security\EnableUnsafeClientMailRules
Outlook 2013
HKEY_USERS\<SID>\Software\Microsoft\Office\15.0\Outlook\Security\EnableUnsafeClientMailRules

Microsoft yamasini uygulamak kalici olarak kullanicilarin mail kurallarini devre disi birakmakta.

Outlook Ana Sayfa

Outlook Ana Sayfa ozelliklerinden faydalanarak kullanicinin sistemi uzerindeki sayfaya istege bagli bir payload enjekte edilebilir.Payload mail kutusu dizinleri arasinda gezinirken veya Microsoft Outlook restart edildiginde tetiklenmekte.Bu teknigin kesfedilmesinde rol oynayan kisi Etienne Stalmans ve bu saldirinin uygulanmasi icin kullanici bilgileri gerekli.

Microsoft, Inbox ozelliklerinden ana sayfa fonksiyonunu silen bir yama yayinladi(KB4011162).

LDAP Imzasi & LDAP Kanal Baglari Zorlamalari

Microsoft Exchange icin olan cesitli ataklarin cogu ActiveDirectory ile olan guven iliskilerinin kotuye kullanarak izinlerin degistirilmesi ve yuksek konumdan erisim kazanma uzerine dayanir.Bu tarz saldirilari onlemek icin LDAP Imzasi(Signing) ve LDAP Baglamasi(Binding) aktive edilmeli.Bu ayarlar Microsft varsayilan olarak kapali gelmekte; ancak Microsoft hatasinin farkina vararak Ocak 2020’den itibaren uygulanacak bir guvenlik yamasi cikardi.Bu yama’da LDAP Imza(Signing) ve LDAP Baglamasi(Binding) varsayilan olarak acik.Tabii ki de adminler Group Policy Management Editor’den bu durum manuel olarak degistirebilirler.

LDAP Server Signing

LDAP Client Signing

LDAP Imzasi istemciler için Group Policy veya Local Security Policy sekmelerinden aktif hale getirilebilir.

LDAP Binding işlemi ise asagidaki registry konumlarinda registry anahtari uretilerek aktif hale getirilebilir.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters

Registry anahtar degerinin 2 olmasi binding isleminin her daim acik kalmasi anlamina gelmekte.

LdapEnforceChannelBinding=2

LDAP Channel Binding

OZET

Microsoft’un guvenlik yamalarini zamanla hayata gecirmek ve yukarida anlatilan cozumleri gerceklemek organizasyonun Microsoft Exchange’i hedef alan siber saldirilarina karsi dayanikliligini kayda deger sekilde arttiracaktir.Asagidaki diyagram makalenin kisa bir ozeti seklinde yer almakta.

Asagida belirtilen tablo da ise saldirganlarin ilgili yamalarsiz ve CVE rakamlariyla neler yapabilecegini bilgilendirmekte.

FunctionalityTechniqueMicrosoft PatchCVE Number
Outlook RulesCode ExecutionKB3191883
KB3191893
KB3191938
N/A
Outlook Home PageCode ExecutionKB4011162 – 2016
KB4011178 – 2013
KB4011196 – 2010
CVE-2017-11774
Outlook FormsCode ExecutionKB3191883N/A
Push SubscriptionPrivilege EscalationN/ACVE-2018-8581
Push SubscriptionDomain EscalationKB4471391 – 2019
KB4471392 – 2016
KB4345836 – 2013
KB4487052 – 2010
CVE-2019-0686
CVE-2019-0724

Kaynak: Pentest Laboratories

Related Posts

Facebook Comments