Microsoft, Windows DNS sunucusunda CVE-2020-1350 güvenlik açığını bildirdi. Kötü haber: Güvenlik açığı CVSS ölçeğinde 10 puan aldı, bu da bu açığın kritik olduğu anlamına geliyor. İyi haber: Siber suçlular bu açığı yalnızca sistem DNS sunucu modunda çalışıyorsa kullanabilirler. Başka bir deyişle, potansiyel olarak savunmasız bilgisayarların sayısı nispeten azdır. Ayrıca, şirket zaten yama ve geçici bir geçici çözüm yayımladı.
Güvenlik açığı nedir ve nasıl tehlikelidir?
CVE-2020-1350, Windows Server’ı çalıştıran DNS sunucularını kötü amaçlı kodları uzaktan yürütmeye zorlar. Başka bir deyişle, güvenlik açığı RCE sınıfına aittir. CVE-2020-1350 kötüye kullanmak için, bir kişinin sadece DNS sunucusuna özel olarak oluşturulan istek göndermesi yeterlidir.
Üçüncü taraf kod, daha sonra LocalSystem hesabında yürütülür. Bu hesap, yerel bilgisayarda geniş ayrıcalıklara sahiptir ve ağda bir bilgisayar görevi görür. Buna ek olarak, güvenlik alt sistemi LocalSystem hesabını tanımaz. Microsoft’a göre, güvenlik açığının en büyük tehlikesi, yerel ağ üzerinden bir tehdit yaymak için kullanılabilmesidir. Bu nedenle, solucan olarak sınıflandırılır.
CVE-2020-1350 kimleri tehdit ediyor?
Windows Server’ın tüm sürümleri, yalnızca DNS sunucu modunda çalışıyorsa, güvenlik açığına karşı tehdit altındadır. Şirketinizin bir DNS sunucusu yoksa veya farklı bir işletim sistemine dayalı bir DNS sunucusu kullanıyorsa endişelenmenize gerek yoktur.
Neyse ki, güvenlik açığı Check Point Research tarafından keşfedildi ve henüz nasıl kötüye kullanılacağına yönelik kamuya açık bir bilgi yok. Buna ek olarak, şu anda CVE-2020-1350 saldırganlar tarafından kötüye kullanıldığına dair hiçbir kanıt da yok.
Ancak, Microsoft sistemin güncellenmesini önermesinden sonra, siber suçluların güvenlik açığından nasıl yararlanılabileceğini bulmak için savunmasız DNS sunucularına ve yayımlanan yamalara odaklanması muhtemeldir. Herkes geç olmadan yamayı yüklemelidir.
Ne yapmalı?
Yukarıda belirtildiği gibi, en iyi eylem DNS sunucuları tarafından istekleri işleme yöntemini değiştiren Microsoft yamasın yüklemektir. Yama, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server sürüm 1903, Windows Server sürüm 1909 ve Windows Server sürüm 2004 için kullanılabilir. Bu güvenlik açığına ayrılmış Microsoft sayfasından yamayı indirebilirsiniz.
Ancak, bazı büyük şirketlerin dâhili kuralları ve yazılım güncelleştirmeleri için belirlenmiş bir iç kuralları vardır ve sistem yöneticileri yamayı hemen yükleyemeyebilir. Şirket, DNS sunucularının bu gibi durumlarda gizliliğinin ihlal edilmesini önlemek için Microsoft bir geçici çözüm de önerdi. Sistem kayıt defterinde aşağıdaki değişiklikleri yapmayı içerir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Değişiklikleri kaydettikten sonra sunucuyu yeniden başlatmanız gerekir. Bu geçici çözüm, sunucunun 65.280 bayttan daha büyük bir TCP paketi alması durumunda yanlış sunucu çalışmasına yol açabileceğini unutmayın. Bu nedenle Microsoft’un TcpReceivePacketSize anahtarını ve değerini silerek kayıt defteri girişini yama yüklendikten sonra orijinal durumuna döndürmesini öneriyor.
Biz altyapınızda çalışan DNS sunucusunun diğer uç noktalarla aynı şekilde bir bilgisayar olduğunu hatırlatmak isteriz. Ayrıca siber suçluların kötüye kullanmaya çalışabileceği güvenlik açıklarına da sahip olabilirler. Bu nedenle, ağdaki diğer uç noktalar gibi Kaspersky Endpoint Security for Business gibi bir güvenlik çözümü gerektirir.