CVE-2023-23397 kodlu kritik güvenlik açığı, Microsoft Outlook kullanıcıları için ciddi bir risk oluşturuyor ve e-posta istemcisinde önemli bir güvenlik açığına işaret etmektedir.

Saldırganlar bu zafiyeti kullanarak e-posta kutunuza özel olarak geliştirdikleri e-posta, not veya toplantı istekleri göndererek, size ait kimlik bilgilerini çalabilir.

Sonuç olarak saldırganlar hassas bilgilere erişebilir veya kötü amaçlı yazılım bulaştırabilirler. Bu nedenle, kimlik bilgilerinin çalınması ciddi bir güvenlik riski olarak kabul edilir ve bu tür bir durumda ilgili tüm hesapların şifreleri değiştirilmelidir.

Zafiyetten Etkilenen Microsoft Outlook Sürümleri

• Microsoft Outlook 2016 (64-bit edition)

• Microsoft Outlook 2013 Service Pack 1 (32-bit editions)

• Microsoft Outlook 2013 RT Service Pack 1

• Microsoft Outlook 2013 Service Pack 1 (64-bit editions)

• Microsoft Office 2019 for 32-bit editions

• Microsoft Office 2019 for 64-bit editions

• Microsoft 365 Apps for Enterprise for 64-bit Systems

• Microsoft Office LTSC 2021 for 64-bit editions

• Microsoft Outlook 2016 (32-bit edition)

• Microsoft Office LTSC 2021 for 32-bit editions

Alınması Gereken Önlemler

• Exchange Server güncellemeleri yayınlandığı anda, bunları mümkün olan en kısa sürede yüklemeniz önerilir. Eğer hala eksik Exchange Server güvenlik güncelleştirmeniz varsa, derhal tamamlamanız ve gerekli önlemleri almanız önemlidir.

• Office/Outlook güncellemelerini mümkün olan en kısa sürede yüklemeniz önerilir. Microsoft Outlook istemciler için güvenlik güncelleştirmesi varsa, derhal tamamlamanız önerilir.

• Kritik hesaplar olarak adlandırılan Domain Admins, Schema Admins, Enterprise Admins gibi gruplara üye olan ve kritik sistemlere erişimi olan hesapların güvenliği için, bu hesapları Protected Users grubuna eklemek önemlidir. Dikkatli olunması gereken bir nokta, bazı uygulamaların (örneğin VMware, vCenter gibi) Kerberos servisini desteklememesi nedeniyle, bu gruba dahil edilen hesapların sisteme giriş yapamamasıdır. Bu nedenle, öncelikle sisteminizi analiz etmeniz ve daha sonra işlemleri gerçekleştirmeniz önerilir.

• Ağ güvenliğiniz için, TCP 445/SMB trafiğinin dışarıya çıkışını yerel güvenlik duvarı ve VPN ayarları aracılığıyla engelleyin. Bu, CVE-2023-23397 zafiyetinin istismar edilerek uzak dosya paylaşımlarına NTLM kimlik doğrulama mesajları gönderilmesini önler. Uzak kullanıcılar için ise VPN ayarlarının kontrol edilmesi önemlidir, böylece kurumsal ağınızda olmadıklarında bile giden trafiğin engellendiğinden emin olabilirsiniz.

Tespit Yöntemleri

• Microsoft, bu zafiyetten etkilenen e-posta hesaplarını tespit etmek ve temizlemek için bir script yayınladı. Bu scripte buradan ulaşabilirsiniz.

Yukarıdaki görselde görünen "CVE-2023-23397.ps1" linkine tıklayınız.

İndirdiğimiz scripti Exchange Server üzerinde bir klasör açıp içine atıyoruz.

Adımlar:

Script, Exchange EWS servisi üzerinden riskli bulguları bulup silecektir. Foksiyonlar EWS api kullandığı için Exchange throttling politikalarına takılabilir. Bu engeli aşmak için throttling politikası oluşturmalısınız. Küçük ortamlarda buna gerek olmayacaktır.

Fakat script'i çalıştıracağınız hesaba ApplicationImpersonation hakkı atamalısınız.

1. Role Grubun oluşturulması

New-RoleGroup -Name "CVE-2023-23397-Script" -Roles "ApplicationImpersonation" -Description "Permission to run the CVE-2023-23397 script"

Add-RoleGroupMember -Identity "CVE-2023-23397-Script" -Member "<Betiği Çalıştıracak Kullanıcı>"

2. Throttling Politikasının oluşturulması

New-ThrottlingPolicy "CVE-2023-23397-Script"

Set-ThrottlingPolicy "CVE-2023-23397-Script" -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited

Set-Mailbox -Identity "<Betiği Çalıştıracak Kullanıcı>" -ThrottlingPolicy "CVE-2023-23397-Script"

3. Microsoft.Exchange.WebServices.dll Exchange EWS API methotlarını kullanabilmek için EWS Managed API dll'ine ihtiyacımız var. Bunu ilgili Nuget içinden alabilirsiniz.

• NuGet Gallery | Microsoft.Exchange.WebServices.2.2.0 adresinden nuget paketini indirebilirsiniz.

• Dosyanın .nupkg olan uzantısını .zip olarak değiştirin.

• Paketin içinde bulunan dosyaları, scriptin bulunduğu klasöre çıkarın.

4. Betiğin çalıştırılması

$cred=Get-Credential 
Get-Mailbox -ResultSize Unlimited | Select PrimarySmtpAddress  | .\CVE-2023-23397.ps1 -IgnoreCertificateMismatch -Environment Onprem -DLLPath .\Microsoft.Exchange.WebServices.dll -Credential $cred -EWSServerURL '' -UseSearchFolders

• • Eğer script ekrana "No vulnerable item found" ifadesini yazarsa sisteminize bu yöntemle bir saldırı gerçekleştirilmediği anlamına gelir. Diğer adımları uygulamanıza gerek yoktur.

  • Eğer script AuditingResults dosyası oluşturulmuşsa kritere bulunan riskli item bulunmuş demektir. Aralarında false positive olacağını düşünerek, silinmesini istediğiniz bulguların aksiyon kolonunu "Y" olarak değiştirip aşağıdaki şekilde script'i cleanup modda çalıştırabilirsiniz.

5. Kötü amaçlı özellik içeren iletileri silmek için;

.\CVE-2023-23397.ps1 -Environment Onprem -DLLPath .\Microsoft.Exchange.WebServices.dll -Credential $cred -EWSServerURL '' -CleanupAction ClearItem -CleanupInfoFilePath 'C:\scripts\CVE\AuditResults.csv'