Yeni Kritik Bir Güvenlik Açığı SMBleed Windows SMB Protokolünü Etkiliyor

Siber güvenlik araştırmacıları Sunucu İleti Bloğu (SMB) protokolünü etkileyen ve saldırganların çekirdek belleğini uzaktan sızmasına izin verebilecek yeni bir kritik güvenlik açığını ortaya çıkardı ve daha önce açıklanan “kötü” bir hata ile birleştirildiğinde, uzaktan kod yürütme saldırıları gerçekleştirmek için kusurdan yararlanılabildiğini keşfetti.


Siber güvenlik firması ZecOps tarafından “SMBleed” (CVE-2020-1206) olarak adlandırılan kusur, SMB’nin dekompresyon fonksiyonunda – üç ay önce potansiyel olarak SMBGhost veya EternalDarkness böceği (CVE-2020-0796) ile aynı fonksiyonda bulunuyor.Gerekli güncellemeleri olmayan Windows sistemlerini ağlarda yayılabilecek kötü amaçlı yazılım saldırılarına açma olanağı sunmakta.

Yeni keşfedilen güvenlik açığı, Microsoft’un Haziran ayındaki aylık Yama güncelleştirmelerinin bir parçası olarak güvenlik düzeltme ekleri yayımladığı Windows 10 1903 ve 1909 sürümlerini etkilemektedir.


445 numaralı TCP bağlantı noktası üzerinden çalışan SMB, ağ üzerinden dosya paylaşımı, ağ tarama, yazdırma hizmetleri ve süreçler arası iletişim için temel sağlayan bir ağ protokolüdür.

ZecOps araştırmacılarına göre, söz konusu kusur, söz konusu dekompresyon fonksiyonunun (“Srv2DecompressData”), saldırganın başlatılmamış çekirdek belleğini okumasına ve değişiklikler yapmasına izin veren özel hazırlanmış mesaj isteklerini (ör. SMB2 WRITE) işleme biçiminden kaynaklanıyor.

Sunucudaki güvenlik açığından yararlanmak için, kimliği doğrulanmamış bir saldırgan, hedeflenen bir SMBv3 sunucusuna özel hazırlanmış bir paket gönderebilir. Microsoft, “İstemciye yönelik güvenlik açığından yararlanmak için, kimliği doğrulanmamış bir saldırganın kötü amaçlı bir SMBv3 sunucusu yapılandırması ve kullanıcıyı bu sunucuya bağlanmaya ikna etmesi gerekir.”


Daha da kötüsü, SMBleed, uzaktan kod yürütülmesini sağlamak için işlenmemiş Windows 10 sistemlerinde SMBGhost ile zincirlenebilir. Güvenlik Firması ayrıca kusurları gösteren bir kavram kanıtı istismar kodu yayınladı.

Güvenlik açığını azaltmak için, ev ve işyeri kullanıcılarının en son Windows güncelleştirmelerini en kısa zamanda yüklemeleri önerilir.

Yamanın uygulanamadığı sistemlerde, yanal hareketi ve uzaktan sömürüyü önlemek için 445 numaralı bağlantı noktasını engellemeniz önerilir.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!