Microsoft, Ağustos ayındaki yayınladığı yamayla, aralarında CVE-2020-1472‘nin de bulunduğu birkaç güvenlik açığını kapattı. Netlogon protokolü güvenlik açığının önem düzeyi “kritik” olarak belirlendi (CVSS puanı, en yüksek puan olan 10,0’dı). Açığın bir tehdit oluşturabileceği şüphesizdi ancak geçtiğimiz gün Secura araştırmacısı Tom Tervoort (açığı keşfeden kişi), Zerologon olarak bilinen güvenlik açığının neden bu kadar tehlikeli olduğunu ve bu açığın alan denetleyicisini ele geçirmek için nasıl kullanılacağını açıklayan ayrıntılı bir rapor yayınladı.
Zerologon’la ilgili bilinmesi gerekenler
Aslında CVE-2020-1472, Netlogon Uzak Erişim Protokolünün şifrelenmiş kimlik doğrulama şemasındaki bir hatanın sonucudur. Protokol, alan (domain) tabanlı ağlarda, kullanıcıların ve makinelerin kimliğini doğrular ve bunun yanında bilgisayar parolalarını uzaktan güncellemek için de kullanılır. Güvenlik açığı aracılığıyla saldırgan, istemci bir bilgisayarı taklit edebilir ve alan denetleyicisinin (tüm ağı kontrol eden ve Active Directory hizmetlerini çalıştıran sunucu) şifresini değiştirerek alanın yönetici haklarını kazanmasına imkan verir.
Bu açıktan kimler etkilenebilir?
CVE-2020-1472, Windows tabanlı alan denetleyicilerine dayalı ağlara sahip şirketler için bir risk oluşturuyor. Siber suçlular, özellikle Windows Server 2019 veya Windows Server 2016’nın herhangi bir sürümü başta olmak üzere, Windows Server 1909 sürümü, Windows Server 1903 sürümü, Windows Server 1809 sürümü (Datacenter ve Standart sürümler), Server 2012 R2, Windows Server 2012 veya Windows Server 2008 R2 Service Pack 1 sürümü kullanan bir alan denetleyicisini ele geçirebilir. Saldırı için siber suçluların önce kurumsal ağa sızması gerekir, ancak bu o kadar da büyük bir sorun değildir — içeriden gerçekleştirilen saldırılar ve halka açık alanlardaki Ethernet çıkışlarından girilmesi hiç de bilinmedik durumlar değil.
Neyse ki Zerologon, henüz gerçek hayattaki bir saldırıda kullanılmadı (veya en azından bildirilen bir saldırı yok). Bununla birlikte Tervoort’un raporu büyük heyecan yarattı, muhtemelen siber suçluların da dikkatini çekti ve araştırmacılar bunun işe yaradığına dair bir kanıt yayınlamış olmasa da, saldırganların çıkan yamalar üzerinden bunu oluşturabileceğine şüphe yok.
Zerologon saldırılarından nasıl korunulur?
Microsoft, bu yılın Ağustos ayının başında etkilenen tüm sistemlerdeki güvenlik açıklarını kapatmak üzere çeşitli yamalar yayınladı, bu nedenle, henüz yapmadıysanız vakit kaybetmeden güncellemeleri yapın. Ek olarak şirket, protokolün açığa sahip sürümü üzerinden yapılan tüm oturum açma girişimlerinin izlenmesini ve yeni sürümü desteklemeyen cihazların tanımlanmasını öneriyor. Yapılması gereken şey, alan denetleyicisinin, tüm cihazların Netlogon’un güvenli sürümünün kullanıldığı bir moda ayarlanmasıdır.
Güncellemeler bu kısıtlamayı zorunlu tutmaz çünkü Netlogon Uzaktan Erişim Protokolü yalnızca Windows’ta kullanılmaz — diğer işletim sistemlerine dayalı birçok cihaz da bu protokolü baz alır. Kullanımını zorunlu kılarsanız güvenli sürümü desteklemeyen cihazlar düzgün çalışmayacaktır.
Bununla birlikte, 9 Şubat 2021’den itibaren, alan denetleyicilerinin böyle bir modu kullanması (yani, tüm cihazları güncellenmiş, güvenli Netlogon sürümünü kullanmaya zorlamak) gerekecek, böylece yöneticilerin üçüncü taraf cihaz uyumluluğu sorununu (güncelleyerek veya manuel olarak kapsam dışı tutarak) önceden çözmesi gerekecek. Ağustos yamasının neleri içerdiğini ve ayrıntılı yönergelerle birlikte Şubat ayında nelerin değişeceğine ilişkin daha fazla bilgi için bu Microsoft paylaşımına göz atın.