Blog Arksoft
  • Arksoft Bilisim
  • Scripts
    • SCCM (ConfigMgr)
    • Hyper-V
    • WSUS
    • Exchange Scripts
      • Exchange Virtual Directory Config
      • Virtual Directory Script
      • LogPath Config
  • NİSAN 2025
    • Exchange Server 2019 CU15 Apr25HU
    • Nisan 2025:Microsoft Güvenlik Güncellemeleri
    • Power BI Gateway ile On-Prem Verilerin Gücünü Keşfedin!
    • IT Personelleri Neden Adli Bilişim Farkındalık Eğitimi Almalıdır?
    • ''SCCM 2503'' Sürüm Yükseltme Rehberi
  • Mart 2025
    • SCCM Üzerinden Kritere Göre Uygulama ve Deployment’ları Otomatik Silmek
    • Mart 2025: Microsoft Güvenlik Güncellemeleri
  • ŞUBAT 2025
    • SPN Nedir, Kerberos Nasıl Çalışır ve Duplicate SPN Neden Sorun Yaratır?
    • Şubat 2025: Microsoft'un Güvenlik Güncellemeleriyle Sistemlerinizi Güçlendirin!
    • Exchange Server CU15 Güncellemesi
    • log_reuse_wait_desc Nedir ve Ne Anlatır?
  • OCAK 2025
    • Azure SQL Nedir? Temel Bilgiler ve Avantajlar
    • Live Migration için Ağ Kartı Seçerken Dikkat Edilmesi Gerekenler
    • Protected Attribute Nedir? Nasıl Oluşturulur?
    • Ocak 2025 Microsoft Güvenlik Güncellemeleri: Sistemlerinizi Güvende Tutun!
    • CLIUSR Hesabı Neden Önemlidir? CLIUSR sertifikası nedir, neden süresi doldu uyarısı alıyorum?
  • ARALIK 2024
    • TLS 1.2 Öncesi Protokollerin Güvenlik Açıkları ve TLS 1.2/1.3 Önemi
  • Kasım 2023
    • Microsoft Exchange Server Kasım Ayı Güvenlik Güncellemesi
  • Temmuz 2023
    • Microsoft Office Zero-Day Zafiyeti CVE-2023-36884
  • Mayis 2023
    • Hashing ve Salting Kavramları Nedir? Azure AD Parola Güvenliği Nasıl Sağlanır?
  • Nisan 2023
    • DDOS Saldırıları Nedir ve Korunma Yolları Nelerdir?
    • Fidye Yazılımları Nedir ve Korunma Yöntemleri Nelerdir?
    • Ransomwares And Defence Strategies
    • PowerShell Modülleri: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Fonksiyonları: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Cmdlet'ler: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Değişkenleri: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Nedir?
    • Oltalama E-Postalarından Korunma
    • CVE-2023-2033
    • Cloud Computing and Its Advantages
    • Bulut Bilişim Nedir ve Bulut Bilişimin Avantajları Nelerdir?
    • Bilgi ve İletişim Güvenliği Rehberi Nedir ve Rehbere Uyumlu Olmak Neden Önemlidir?
  • Mart 2023
    • Sık Kullanılan Portlar ve Üzerinde Çalışan Protokoller
    • Siber Güvenlik ve İnternet Dünyasında Güvende Kalmanın Yolları
    • Outlook Kullanıcılarına Uyarı: CVE-2023-23397 Güvenlik Açığına Karşı Önlem Alın
  • Şubat 2023
    • Üçüncü Parti Uygulamaların Güncellenmesinin Önemi
  • Aralık 2022
    • Siber Tehdit
    • FRS to DFSR Migration
  • Kasım 2022
    • Domain Controller 2022 Kasım Ayı Bug'ı
  • Mart 2022
    • OWA ve ECP erişim sorunu: Microsoft Exchange Server Auth Certificate is expired
    • MIM 2016 SSPR Türkçe Karakter Problemi
  • Haziran 2021
    • KMS (Key Management Service)
  • Ağustos 2020
    • Microsoft Teams Konuk (Guest) Erişimi ve Dış (External) Erişim- Sizin için hangisi uygun?1
    • SCCM 2006 Güncellemesi
    • Skype For Business 2019 Kurulumu- Hata Kodu 1603 (Server.msi(Feature_Server, Feature_HealthyAgent))
    • Skype for Business 2019 “Centralized Logging” Servisinin Başlatılamaması Problemi ve Çözümü
  • Temmuz 2020
    • Clean Inactive Agents from Operations Manager
  • Haziran 2020
    • Microsoft Teams Katılımcı Raporu İndirme
    • Microsoft Teams Toplantı ve Grup Sohbet Sınırı 300'e çıkarıldı
  • Mayıs 2020
    • MIM 2016 Service and Portal Kurulumundaki Bug
    • Telegram ve Powershell ile Sistem İzleme-Part 1
  • Ekim 2019
    • Windows Server 2019 Active Directory Domain Services Kurulumu
  • Nisan 2019
    • Huawei FusionCompute Kurulumu
  • Mart 2019
    • Password Reveal Düğmesi
  • Ocak 2019
    • ReportServer Veri Tabanı içerisinden RDL Dosyalarının Çıkartılması
  • Temmuz 2018
    • Active Directory Certificate Services - SHA1’ den SHA2’ ye Yükseltme
    • Local Administrator Password Solution
Powered by GitBook
On this page
  1. Mart 2023

Outlook Kullanıcılarına Uyarı: CVE-2023-23397 Güvenlik Açığına Karşı Önlem Alın

Elif Uchan

PreviousSiber Güvenlik ve İnternet Dünyasında Güvende Kalmanın YollarıNextÜçüncü Parti Uygulamaların Güncellenmesinin Önemi

Last updated 2 years ago

CVE-2023-23397 kodlu kritik güvenlik açığı, Microsoft Outlook kullanıcıları için ciddi bir risk oluşturuyor ve e-posta istemcisinde önemli bir güvenlik açığına işaret etmektedir.

Saldırganlar bu zafiyeti kullanarak e-posta kutunuza özel olarak geliştirdikleri e-posta, not veya toplantı istekleri göndererek, size ait kimlik bilgilerini çalabilir.

Sonuç olarak saldırganlar hassas bilgilere erişebilir veya kötü amaçlı yazılım bulaştırabilirler. Bu nedenle, kimlik bilgilerinin çalınması ciddi bir güvenlik riski olarak kabul edilir ve bu tür bir durumda ilgili tüm hesapların şifreleri değiştirilmelidir.

Zafiyetten Etkilenen Microsoft Outlook Sürümleri

  • Microsoft Outlook 2016 (64-bit edition)

  • Microsoft Outlook 2013 Service Pack 1 (32-bit editions)

  • Microsoft Outlook 2013 RT Service Pack 1

  • Microsoft Outlook 2013 Service Pack 1 (64-bit editions)

  • Microsoft Office 2019 for 32-bit editions

  • Microsoft Office 2019 for 64-bit editions

  • Microsoft 365 Apps for Enterprise for 64-bit Systems

  • Microsoft Office LTSC 2021 for 64-bit editions

  • Microsoft Outlook 2016 (32-bit edition)

  • Microsoft Office LTSC 2021 for 32-bit editions

Alınması Gereken Önlemler

  • Exchange Server güncellemeleri yayınlandığı anda, bunları mümkün olan en kısa sürede yüklemeniz önerilir. Eğer hala eksik Exchange Server varsa, derhal tamamlamanız ve gerekli önlemleri almanız önemlidir.

  • Office/Outlook güncellemelerini mümkün olan en kısa sürede yüklemeniz önerilir. Microsoft Outlook istemciler için varsa, derhal tamamlamanız önerilir.

  • Kritik hesaplar olarak adlandırılan Domain Admins, Schema Admins, Enterprise Admins gibi gruplara üye olan ve kritik sistemlere erişimi olan hesapların güvenliği için, bu hesapları Protected Users grubuna eklemek önemlidir. Dikkatli olunması gereken bir nokta, bazı uygulamaların (örneğin VMware, vCenter gibi) Kerberos servisini desteklememesi nedeniyle, bu gruba dahil edilen hesapların sisteme giriş yapamamasıdır. Bu nedenle, öncelikle sisteminizi analiz etmeniz ve daha sonra işlemleri gerçekleştirmeniz önerilir.

  • Ağ güvenliğiniz için, TCP 445/SMB trafiğinin dışarıya çıkışını yerel güvenlik duvarı ve VPN ayarları aracılığıyla engelleyin. Bu, CVE-2023-23397 zafiyetinin istismar edilerek uzak dosya paylaşımlarına NTLM kimlik doğrulama mesajları gönderilmesini önler. Uzak kullanıcılar için ise VPN ayarlarının kontrol edilmesi önemlidir, böylece kurumsal ağınızda olmadıklarında bile giden trafiğin engellendiğinden emin olabilirsiniz.

Tespit Yöntemleri

Yukarıdaki görselde görünen "CVE-2023-23397.ps1" linkine tıklayınız.

İndirdiğimiz scripti Exchange Server üzerinde bir klasör açıp içine atıyoruz.

Adımlar:

Script, Exchange EWS servisi üzerinden riskli bulguları bulup silecektir. Foksiyonlar EWS api kullandığı için Exchange throttling politikalarına takılabilir. Bu engeli aşmak için throttling politikası oluşturmalısınız. Küçük ortamlarda buna gerek olmayacaktır.

Fakat script'i çalıştıracağınız hesaba ApplicationImpersonation hakkı atamalısınız.

  1. Role Grubun oluşturulması

New-RoleGroup -Name "CVE-2023-23397-Script" -Roles "ApplicationImpersonation" -Description "Permission to run the CVE-2023-23397 script"

Add-RoleGroupMember -Identity "CVE-2023-23397-Script" -Member "<Betiği Çalıştıracak Kullanıcı>"

  1. Throttling Politikasının oluşturulması

New-ThrottlingPolicy "CVE-2023-23397-Script"

Set-ThrottlingPolicy "CVE-2023-23397-Script" -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited

Set-Mailbox -Identity "<Betiği Çalıştıracak Kullanıcı>" -ThrottlingPolicy "CVE-2023-23397-Script"

3. Microsoft.Exchange.WebServices.dll Exchange EWS API methotlarını kullanabilmek için EWS Managed API dll'ine ihtiyacımız var. Bunu ilgili Nuget içinden alabilirsiniz.

  • Dosyanın .nupkg olan uzantısını .zip olarak değiştirin.

  • Paketin içinde bulunan dosyaları, scriptin bulunduğu klasöre çıkarın.

4. Betiğin çalıştırılması

$cred=Get-Credential 
Get-Mailbox -ResultSize Unlimited | Select PrimarySmtpAddress  | .\CVE-2023-23397.ps1 -IgnoreCertificateMismatch -Environment Onprem -DLLPath .\Microsoft.Exchange.WebServices.dll -Credential $cred -EWSServerURL '' -UseSearchFolders

    • Eğer script ekrana "No vulnerable item found" ifadesini yazarsa sisteminize bu yöntemle bir saldırı gerçekleştirilmediği anlamına gelir. Diğer adımları uygulamanıza gerek yoktur.

    • Eğer script AuditingResults dosyası oluşturulmuşsa kritere bulunan riskli item bulunmuş demektir. Aralarında false positive olacağını düşünerek, silinmesini istediğiniz bulguların aksiyon kolonunu "Y" olarak değiştirip aşağıdaki şekilde script'i cleanup modda çalıştırabilirsiniz.

5. Kötü amaçlı özellik içeren iletileri silmek için;

.\CVE-2023-23397.ps1 -Environment Onprem -DLLPath .\Microsoft.Exchange.WebServices.dll -Credential $cred -EWSServerURL '' -CleanupAction ClearItem -CleanupInfoFilePath 'C:\scripts\CVE\AuditResults.csv'

Microsoft, bu zafiyetten etkilenen e-posta hesaplarını tespit etmek ve temizlemek için bir script yayınladı. Bu scripte ulaşabilirsiniz.

Şimdi sizler ile bu scriptin nasıl kullanıldığına ve zafiyet taramasının nasıl yapıldığını inceleyelim.

adresinden nuget paketini indirebilirsiniz.

güvenlik güncelleştirmeniz
güvenlik güncelleştirmesi
buradan
NuGet Gallery | Microsoft.Exchange.WebServices.2.2.0