12 Mart’ta Güncellenmiştir
Windows 10 ve Windows Server işletim sistemlerindeki Microsoft Sunucu İleti Bloğu 3.1.1 (SMBv3) protokolünü etkileyen CVE-2020-0796 RCE güvenlik açığıyla ilgili yeni haberler ortaya çıktı. Microsoft’a göre, bir saldırgan SMB sunucusunun veya SMB istemcisinin yanında rasgele kod yürütmek için bu güvenlik açığından yararlanabilir. Sunucuya saldırmak için özel olarak oluşturulmuş bir paket göndermek mümkün. İstemciye gelince, saldırganların kötü niyetli bir SMBv3 sunucusu yapılandırması ve kullanıcıyı bu sunucuya bağlanmaya ikna etmesi gerekiyor.
Siber güvenlik uzmanları, güvenlik açığının WannaCry benzeri bir solucan başlatmak için kullanılabileceğini düşünüyor. Microsoft bu güvenlik açığını kritik olarak adlandırdığı için en kısa sürede kapatmanız gerekiyor.
Kimler tehlikede?
SMB, dosyalara, yazıcılara ve diğer ağ kaynaklarına uzaktan erişim için kullanılan bir ağ protokolüdür. Microsoft Windows Ağı’nın yanı sıra Dosya ve Yazıcı Paylaşımı özelliklerini uygulamak için kullanılır. Şirketiniz bu işlevleri kullanıyorsa, endişelenmeniz için bir nedeniniz var.
Microsoft Server Message Block 3.1.1 ise yalnızca yeni işletim sistemlerinde kullanılan nispeten yeni bir protokoldür:
- 32-bit sistemler için Windows 10 Sürüm 1903
- ARM64 Tabanlı Sistemler için Windows 10 Sürüm 1903
- X64 Tabanlı Sistemler için Windows 10 Sürüm 1903
- 32-bit sistemler için Windows 10 Sürüm 1909
- ARM64 Tabanlı Sistemler için Windows 10 Sürüm 1909
- X64 Tabanlı Sistemler için Windows 10 Sürüm 1909
- Windows Server, sürüm 1903 (Sunucu Çekirdeği yüklemesi)
- Windows Server, sürüm 1909 (Sunucu Çekirdeği yüklemesi)
Güvenlik açığı Windows 7, 8, 8.1 veya daha eski sürümleri etkilemiyor. Ancak, otomatik olarak güncelleştirmeleri yükleyen modern bilgisayarların çoğu Windows 10 çalıştırıyor, bu nedenle hem ev hem de kurumsal birçok bilgisayarın savunmasız olması muhtemel.
Saldırganlar CVE-2020-0796’yı kötüye kullanıyor mu?
Microsoft’a göre, CVE-2020-0796 güvenlik açığı henüz herhangi bir saldırı için kullanılmadı; en azından hiç kimse bu tür bir saldırıyla karşılaşmadı. Bu arada, güvenlik açığıyla ilgili bilgiler 10 Mart’tan itibaren kamuya açıldı; bu nedenle henüz görülmediyse bile her an bunların kötüye kullanımıyla karşılaşabiliriz.
Ne yapmalısın?
Microsoft, bu güvenlik açığını gideren bir güvenlik güncellemesi yayımladı ve bu güncellemenin en kısa sürede yüklenmesini öneriyor. Güncellemeyi buradan indirebilirsiniz.
Bu güncelleme yayımlanmadan önce Microsoft birkaç geçici çözüm önerdi. Microsoft, bu güvenlik açığından yararlanılmasını engellemek için aşağıdakileri sunuyor.
SMB sunucuları için:
- Bir PowerShell komutu kullanarak güvenlik açığından yararlanılmasını engelleyebilirsiniz:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
SMB müşterileri için:
- WannaCry’da olduğu gibi Microsoft, kurumsal çevre güvenlik duvarında 445 numaralı TCP bağlantı noktasını engellemeyi öneriyor.
Ayrıca, Kaspersky Endpoint Business for Security gibi güvenilir bir güvenlik çözümü kullandığınızdan emin olun. Kaspersky Endpoint Business for Security, diğer teknolojilerin yanı sıra, uç noktaları bilinmeyen güvenlik açıklarından bile koruyan bir kötüye kullanım önleme alt sistemi kullanır.