Son dönemde Exchange Server on-prem ortamlarını hedef alan saldırılarda yeni bir teknik gözlemlenmektedir. Bu teknik, klasik web shell bırakma yöntemlerinden farklı olarak sistem konfigürasyon dosyalarının manipülasyonu üzerinden kalıcılık ve uzaktan kod çalıştırma (RCE) elde edilmesine dayanmaktadır.

Tespit edilen senaryoda saldırganlar:

  • SMB veya yetki zinciri üzerinden kritik web.config dosyalarına yazma işlemi gerçekleştirmekte,
  • IIS Application Pool (özellikle MSExchangeOWACalendarAppPool) bağlamında şüpheli .NET assembly yüklemeleri yapmakta,
  • Ardından .NET ViewState deserialization teknikleri ile uzaktan komut çalıştırabilmektedir.

Bu yaklaşım, sistemde doğrudan bir web shell bırakılmadan da kalıcı erişim sağlanmasına imkan verdiği için klasik IOC taramalarında gözden kaçabilmektedir.

Özellikle aşağıdaki kritik dosyaların manipülasyonu tam sistem yetkisi ile sonuçlanabilecek riskler barındırmaktadır:

  • C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config
  • C:\Windows\System32\inetsrv\config\applicationHost.config

Yapılan analizlerde, yalnızca LocalSystem için uygulanan Write-Deny yetkisinin artık yeterli olmadığı; Exchange servislerinin üye olduğu güvenlik grupları üzerinden yazma işlemlerinin gerçekleştirilebildiği görülmüştür.

Bu nedenle önerilen aksiyonlar:

  1. Kritik konfigürasyon dosyalarına “Exchange Trusted Servers” grubuna yönelik Write-Deny yetkisinin uygulanması
  2. IIS ve .NET config dosyalarında değişiklik takibi için File Integrity Monitoring (FIM) devreye alınması
  3. Exchange Security Update seviyesinin güncel olduğunun doğrulanması
  4. IIS loglarında __VIEWSTATE parametrelerinin anomali analizi
  5. ECP erişiminin gereksizse kapatılması veya yalnızca iç ağa sınırlandırılması
  6. Script Block Logging ve AMSI loglarının aktif edilmesi

Bu sıkılaştırma adımları özellikle internet yayını bulunan Exchange sunucularında kritik öneme sahiptir.

İsterseniz mevcut ortamınız için: Güvenlik durumu analizi, IOC taraması, Hardening uygulanması, güncelleme ve modernizasyon planı (Exchange Server Subscription Edition veya bulut geçişi değerlendirmesi gibi konularında birlikte bir değerlendirme çalışması planlayabiliriz. Eğer sizlerin de böyle ihtiyaçları var ise satis@itstack.com.tr mail adresinden veya 0850 800 14 84 nolu telefon numaramızdan bize ulaşabilirsiniz

Yorum Yap

İlgili Yazılar

Yapay Zeka, BT Operasyonlarını Nasıl Güçlendiriyor?
Yapay Zeka, BT Operasyonlarını Nasıl Güçlendiriyor?
Gallery

Yapay Zeka, BT Operasyonlarını Nasıl Güçlendiriyor?

2026 Yılında Karşımıza Çıkacak En Büyük Bulut Güvenliği Riskleri
2026 Yılında Karşımıza Çıkacak En Büyük Bulut Güvenliği Riskleri
Gallery

2026 Yılında Karşımıza Çıkacak En Büyük Bulut Güvenliği Riskleri

Hibrit ve Çoklu Bulut Ortamlarında Karşılaşılan 6 Temel İzleme Sorunu
Hibrit ve Çoklu Bulut Ortamlarında Karşılaşılan 6 Temel İzleme Sorunu
Gallery

Hibrit ve Çoklu Bulut Ortamlarında Karşılaşılan 6 Temel İzleme Sorunu

Yapay Zeka İş Yüklerinde Maliyet Optimizasyonu: Görünürlükten Kontrole
Yapay Zeka İş Yüklerinde Maliyet Optimizasyonu: Görünürlükten Kontrole
Gallery

Yapay Zeka İş Yüklerinde Maliyet Optimizasyonu: Görünürlükten Kontrole

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.