Microsoft, Microsoft Exchange Server‘a karşı kimlik sahtekarlığı (spoofing) saldırılarının yapılmasına olanak tanıyan bir güvenlik açığının (CVE-2024-49040) kapattı.
Bu güvenlik açığı, transport işlemi sırasında gerçekleştirilen header doğrulamasının mevcut uygulamasından kaynaklanmaktadır. Mevcut uygulama, RFC 5322 standardına uyumlu olmayan bazı P2 FROM header bilgilerinin geçmesine izin vermektedir; bu durum e-posta istemcilerinin (örneğin, Microsoft Outlook) sahte bir göndereni meşru bir gönderici gibi göstermesine neden olabilmektedir.
Kasım 2024 Security Update (SU) ile birlikte, Exchange Server, P2 FROM Header potansiyel olarak zararlı kalıplar içeren e-posta mesajlarını tespit edip işaretleyebilecek hale gelmiştir.
Exchange Server’da RFC Uyumluluğu Olmayan P2 FROM Header Kuralı Nasıl Çalışır?
Öncelikle Exchange Server ortamınızı mevcut en güncel CU/SU yüklemelerini gerçekleştirmeniz gerekmektedir, Exchange Server ortamınızın sürüm bilgisini ve genel yapılandırma bilgilerini kontrol etmek için Exchange Server’da Health Check Scriptini çalıştırabilirsiniz.
Exchange Server, şüpheli bir mesaj tespit ettiğinde, e-posta mesajının gövdesine aşağıdaki uyarıyı otomatik olarak ekleyecek şekilde yapılandırılmıştır:
Notice: This email appears to be suspicious. Do not trust the information, links, or attachments in this email without verifying the source through a trusted method. For more information see: https://aka.ms/ProtectYourselfFromPhishing.
Exchange Server, aynı zamanda, P2 özelliği tarafından tespit edilen herhangi bir e-posta mesajına bir başlık ekler. Özelliğin tespit ettiği e-postalar üzerinde herhangi bir işlem yapmak isterseniz, Exchange Transport Rule (ETR) kullanarak bu başlığı tespit edebilir ve belirli bir işlem gerçekleştirebilirsiniz.
Aşağıdaki örnekte, e-posta, başlık içeriyorsa Exchange Server tarafından reddedilmektedir: X-MS-Exchange-P2FromRegexMatch
New-TransportRule -HeaderContainsMessageHeader "X-MS-Exchange-P2FromRegexMatch" -HeaderContainsWords @("True") -RejectMessageReasonText "Message not accepted due to a non-RFC compliant P2 FROM header" -Name "NonCompliantP2FromDetectionRule" -SenderAddressLocation "Header"Exchange Server’da RFC Uyumluluğu Olmayan P2 FROM Header Kuralı Yapılandırılması
Exchange Server Kasım Security Update ile gelen özellik, varsayılan olarak güvenliği artırmak adına etkin olarak gelmektedir.
Exchange Server‘da özelliği New-SettingOverride komutunu kullanarak devre dışı bırakmak mümkün olsa da, bu özelliği etkin durumda bırakmanız şiddetle tavsiye edilmektedir. Özelliğin devre dışı bırakılması, kötü niyetli aktörlerin kurumunuza karşı kimlik sahtekarlığı (phishing) saldırıları gerçekleştirmesini kolaylaştırır.
Exchange Server’da RFC Uyumluluğu Olmayan P2 FROM Header Kuralı Nasıl Devre Dışı Bırakılır
Aşağıdaki komutu yükseltilmiş Exchange Management Shell (EMS) çalıştırarak özelliği devre dışı bırakabilirsiniz:
New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument RefreshExchange Server’da RFC Uyumluluğu Olmayan P2 FROM Header Kuralı Tekrar Nasıl Etkinleştirilir
New-SettingOverride parametresi ile devre dışı yapmış olduğunuz P2 From Header kuralını tekrar etkinleştirmek isterseniz, EMS üzerinden aşağıdaki parametreyi çalıştırabilirsiniz;
Remove-SettingOverride -Identity "DisableNonCompliantP2FromProtection"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument RefreshBu yazımızda Exchange Server Kasım Security Update ile hayatımıza giren P2 From Header kuralından bahsettik.