Microsoft Exchange Server Uzaktan Kod Çalıştırma Güvenlik Zafiyeti

Microsoft Exchange Server Uzaktan Kod Çalıştırma Güvenlik Zafiyeti

Microsoft Exchange Server ürününde uzaktan kod yürütmeye neden olacak CVSS 3.1 Skoru 9.8 olan bir kritik güvenlik zafiyeti yayınlanmıştır.

Söz konusu güvenlik zafiyeti Exchange Server uygulama havuzu ve Exchange Server sunucu grubu hesapları ile kod çalıştırmaya imkân tanımaktadır. Bu güvenlik zafiyeti aşağıda belirtilen sürümlerde geçerlidir. Yayınlanan zafiyete ilişkin istismar tespit edilmemiş olsa da zafiyetin kritikliği nedeniyle sistemlerin zarar görmemesi için yayınlanan yamaların ilgili bağlantılar üzerinden indirilmesi önerilmektedir.

Etkilenen Sistemler

Aşağıdaki sistemlerin etkilendiği belirtilmiştir;

• Microsoft Exchange Server 2019 Cumulative Update 9
• Microsoft Exchange Server 2016 Cumulative Update 23
• Microsoft Exchange Server 2013 Cumulative Update 8
• Microsoft Exchange Server 2016 Cumulative Update 19
• Microsoft Exchange Server 2019 Cumulative Update 20

IoC’ler

-

Çözüm Önerileri

Aşağıdaki tabloda belirtilen güncellemelerin yüklenmesi önerilmektedir.

CVE / CWE

CVE-2021-34473

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2021-34473
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34473
• https://www.zerodayinitiative.com/advisories/ZDI-21-821/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34473

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.