SMBGhost RCE Exploit Yamalara Rağmen Kurumsal Ağları Tehdit Ediyor!!!

“SMBGhost” olarak bilinen Windows kusuru için bir PoC’nin siber saldırı dalgalarını tetikleyebileceği uyarısında bulundu.

Tamamen işlevsel bir kavram kanıtının (PoC) piyasaya sürülmesi, Windows’ta kritik, kötü bir uzaktan kod yürütme (RCE) güvenlik açığı nedeniyle istismar ediyor, saldırılar bir siber saldırı dalgası oluşturabilir.

Microsoft, Mart ayında CVE-2020-0796 olarak izlenen hatayı düzeltti; SMBGhost veya CoronaBlue olarak da bilinir, Windows 10 ve Windows Server 2019’u etkiler. Microsoft Server İleti Bloğu (SMB) protokolünün 3.1.1 sürümünde bulunur – 2017’de meşhur WannaCry fidye yazılımı tarafından hedeflenen aynı protokol. SMB birden çok istemcinin paylaşılan klasörlere erişmesine izin veren ve yanal hareket ve istemciden istemciye bulaşma söz konusu olduğunda kötü amaçlı yazılımlar için zengin bir oyun alanı sağlayabilen bir dosya paylaşım sistemi olmaya devam ediyor.

Bu durumda, hata srv2.sys çekirdek sürücüsünün SMBv3.1.1 ileti açma yordamındaki bir tamsayı taşması güvenlik açığıdır.

Microsoft, KB4551762 düzeltmesini Windows 10 (sürüm 1903 ve 1909) ve Windows Server 2019 (sürüm 1903 ve 1909) için bir güncelleştirme olarak yayımladı.

Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Cuma günü, “Microsoft, bu güvenlik açığıyla ilgili Mart 2020’de güncelleme yapmasına ve güncellemeler sunmasına rağmen, son zamanlarda açık kaynaklı raporlara göre kötü niyetli siber aktörler yeni PoC ile hedeflenmemiş sistemleri hedefliyor.” “CISA, SMB bağlantı noktalarını internetten engellemek ve kritik ve yüksek önem dereceli güvenlik açıklarına yamaları en kısa sürede uygulamak için bir güvenlik duvarı kullanmanızı önemle tavsiye eder.”

“Chompie” denilen PoC’un arkasındaki yazar, geçtiğimiz hafta Twitter’da istismar ettiğini açıkladı. Orijinal gönderiyi takip eden birkaç yanıt, istismarın gerçekten işe yaradığını doğruladı.

Güvenlik analistlerine göre, daha önce SMBGhost’tan yararlanma girişimleri yalnızca hizmet reddi veya yerel ayrıcalık artışıyla sonuçlandığı görüldü.

Chompie’in istismarından tam olarak bahseden Ricerca Security’deki araştırmacılar, “Daha önce pek çok kamu raporu ve LPE (Yerel Ayrıcalık Yükselmesi) PoC’ları olmasına rağmen, bunların hiçbiri RCE’nin aslında mümkün olduğunu göstermedi. “Bunun nedeni büyük olasılıkla, uzak çekirdek sömürüsünün yerel sömürüden çok farklı olmasıdır, çünkü bir saldırgan kullanıcı alanı süreçleri oluşturma, PEB’ye gönderme ve sistem çağrıları düzenleme gibi yararlı işletim sistemi işlevlerini kullanamaz.”

Bu Saldırıdan Ağları korumak için yöneticiler Microsoft tarafından gönderilen güncellemeleri uygulamalıdır;

Microsoft ayrıca yama yapamayanlar için geçici çözüm önerileri de sundu.

Örneğin, sunucu tarafında bir PowerShell komutu kullanarak kimliği doğrulanmamış saldırganları engellemek için SMBv3 sıkıştırmasını devre dışı bırakabilir:  Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force. Yeniden başlatma gerekmez. Microsoft, eklenmemiş SMB istemcilerini korumak için güvenlik duvarları ve diğer yöntemler aracılığıyla trafiği engellemenin mümkün olduğunu belirtti.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!