Microsoft Exchange Client Access Server Information Disclosure

Exchange Server dış dünyaya açık bir sistem olması nedeni ile pek çok güvenlik testinden geçmek zorundadır. Yaşayan bir sistem olarak Exchange Server zaman içerisinde güncellenmesine karşılık kötü niyetli kişiler tarafından sürekli saldırı altındadır. Aslında bulut çağında onprem de böyle maliyetli sistemler tutmak çok doğru olmasa bile gerek KVKK gerekse bulutun maliyeti nedeni ile hala aktif kullanımı olan bir sistem. Peki böyle bir sistem kullanıyorsanız heran risk altında olduğunuz düşünüldüğünde düzenli pentest yaptırmanız tabi ki gayet normal. Pentest çıktılarında genelde en az bir iki exchange server ile ilgili sorunlar görebilirsiniz. Öncelikle belirtmek isterim ki aslında tüm bu ve benzeri bulgular için doğru adres Exchange Server veya IIS değildir. Bu işin doğrusu WAF kullanmanızdır. Yani Exchange server için size verilen bulguların çözümü doğru bir firewall yapılandırması ve WAF gibi ürünler kullanmanızdır. Buna en iyi örnek ECP kapatılması için sürekli şirketlere bilgi mailleri gider, şirketlerde IIS üzerinden bunu kapattıklarını sanarlar. Oysaki burada aslında kendimizi kandırıyoruz. Çünkü siz her ne kadar IIS üzerinden ecp erişimi için ip ve domain restriction yapsanızda 443 nolu portun açık ve karşısında IIS’ ın olduğunu unutuyoruz. Özetle bir zero day veya RCE durumunda aslında hala sunucunuz saldırıya açık olmaktadır. Bunu niye söylüyorum? Müşterilerimizden pentest çıktıları gelip bunu IIS den kapatabiliyor muşuz şeklinde dönüşler geliyor. Öncelikle bunların çoğu Microsoft tarafından desteklenmeyen ayarlar. Zaten bu bulguların hepsini %100 IIS üzerinden kapatmayı denerseniz mutlaka ama Active Sync, ama OWA ama başka bir yerin patladığını görebilirsiniz. Özetle her ne kadar burada size IIS üzerinde bir koruma özelliği paylaşıyor olsamda (bu case için geçerli olabilir, çünkü bazı bulgular çok kritik gibi görünsede örnek der ki kullandığınız işleteim sistemi, IIS sürümü veya ip görünüyor, bunlar zaten bilgi toplamak amaçlı olduğu için bunu kapatabilirsiniz, asıl sorun daha derin konulardaki IIS korumasına aslında çok güvenmemeniz veya tam koruma yaptığınız da exchange fonksiyonlarının bozulması.

Gelelim konumuza, bulgu aşağıdaki gbidir;

https://www.tenable.com/plugins/nessus/77026

Çözüm;

IIS’ i açıyoruz

Eğer url-rewrite eklentisi yüklü değil ise yüklemeniz gerekli. Ancak güncel Exchange sürümleri zaten bunu uzun süredir şart koştuğu için yüklü olduğunu varsayıyorum.

Default Web sitesi üzerinde URL Rewrite bölümüne tıklıyoruz

Ardından sağ bölümden “Add Rule(s) linkine tıklıyoruz

Karşımıza çıkan kural sihirbazında “Request blocking” bölümüne tıklıyoruz.

Kural aşağıdaki gibi olacaktır;

Son durumda başka kuralınız yok ise aşağıdaki gibi bir görüntü ile karşılaşacaksınız

Umarım faydalı bir içerik olmuştur.