Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

CVE-2019-0708: Microsoft RDP Remote Code Execution Zafiyeti

0
CVE-2019-0708: Microsoft RDP Remote Code Execution Zafiyeti

Yeni bir “WannaCry” vakası yolda mı?

Microsoft, bu ay 79 güvenlik açığına yönelik 16 adet güncelleme yayınladı. Ancak 14 Mayıs tarihinde dikkat çeken bir güncelleme vardı. Windows 7, Windows Server 2008, ve Windows Server 2008 R2 sistemler dahil olmak üzere Windows’un desteklenen sürümlerinde yerleşik olarak gelen RDP (Uzak Masaüstü Hizmetleri) bileşeninde CVE-2019-0708 isimli bir zafiyet bulunuyordu. Ayrıca, Microsoft’un uzun zaman önce güvenlik güncelleştirmelerini göndermeyi durdurduğu işletim sistemleri olan Windows XP ve Windows 2003 tarafından desteklenen sistemlerde de bu zafiyet bulunuyor.

Microsoft, şirketin bu açığa yönelik herhangi bir saldırı gözlemlemediğini ancak yakın bir zamanda ciddi bir tehlike oluşturabileceğini söyledi.

Microsoft Security Response Center olay yanıt direktörü olan Simon Pope, “Henüz bu zafiyet ile ilgili bir exploit gözlemleyememiş olsak da kötü niyetli kişilerin bu güvenlik açığına yönelik yazılımlar ve programlar geliştirmesi olasıdır.” dedi.

Pope, “Bu güvenlik açığı ön kimlik doğrulamasını kullanıcı etkileşimine gerek kalmadan aşıyor. Başka bir deyişle, güvenlik açığı “wormable” bir durum ortaya çıkarıyor, yani bu güvenlik açığından yararlanan bir saldırgan herhangi bir yazılımı kullanarak savunmasız bilgisayarlardan bu güvenlik açığını barındıran bilgisayarlara yayılarak tıpkı 2017’de WannaCry‘ın yaptığı şekilde bir yayılım gerçekleştirebilir. Böyle bir senaryonun gerçekleşmesini önlemek için mümkün olan en kısa sürede sistemlere gerekli yamaların yüklenmesi gerekmektedir.” diye de ekledi.

WannaCry fidye aracı kullanılarak Mayıs 2017 yılında dünya geneline hızla yayılan bir güvenlik açığı Windows XP ve Windows’un eski sürümlerini çalıştıran sistemleri sömürerek yayıldı. Microsoft, bu açıkla ilgili bir düzeltmeyi hızlıca yayınlasa da birçok eski ve savunmasız sistem güncellenmedi. Europol, WannaCry’ın 150 ülkede yaklaşık 200.000 bilgisayara yayıldığı tahmininde bulundu. CVE-2019-0708‘in de gerekli güncellemeler yapılmadığı takdirde dünya genelinde böyle bir durum oluşturması muhtemeldir.

Zafiyetle ilgili bir exploit yayınlandığında bu saldırılardan ne kadar etkileneceğiz sorusunun cevabı ise ülkemizde bu servisleri kullanan cihazları tespit ederek az çok tahmin edilebilir. Dünya üzerindeki servisleri ve yerlerini bulabilmek için başvurduğumuz birkaç siteden yalnızca ikisine başvurarak bu sonuçlara bakabiliriz.

Shodan:

Türkiye üzerinde, RDP kullanan cihaz sayıları ve konumları

ZoomEye:

Türkiye üzerinde, Windows kullanan ve 3389. portu açık olan cihazların listesi

Yukarıdaki iki listeyi incelediğimizde tehlikenin boyutlarının farkına varabiliyoruz. Shodan platformu 19.316 cihaz bulurken ZoomEye 96.859 adet cihaz bulabildi. Yani olası bir exploit yayınlandığında Türkiye üzerinde en az bu kadar cihaza zarar verilebileceğini görüyoruz.

Peki bu güvenlik açığı nasıl işliyor?

Mevcut güvenlik açığı, RDP hizmetlerine gelen isteklerin, sistem tarafından işlenmesi esnasında karşılaştığı bir hatadan kaynaklanıyor. RDP kullanılarak özel olarak hazırlanmış istekleri sisteme gönderdiğinizde, uzaktan kod çalıştırma imkanına sahip olabiliyorsunuz. Güvenlik açığı, kullanıcıyla etkileşime gerek kalmaksızın kimlik doğrulamayı aşmanızı sağlıyor ve bu zafiyetten faydalanarak hedef sistemde kod çalıştırma, program yükleme; verileri görüntüleme, değiştirme veya silme yetkileriyle birlikte tam kullanıcı haklarına sahip yeni hesaplar oluşturabiliyorsunuz.

CVE-2019-0708, Microsoft’un en son çıkan; Windows 10 ,Windows 8.1, Windows 8 ,Windows Server 2019 ,Windows Server 2016, Windows Server 2012 R2 ve Windows Server 2012 işletim sistemlerini etkilemiyor.

Yukarıdaki sistemlerden herhangi birine sahip değilseniz Microsoft’un yayınladığı bu yamaları bir an önce edinmeniz gerekmektedir. Güncelleştirmeler, Uzak Masaüstü Hizmetleri’nin bu zafiyete neden olan bağlantı isteklerini işleme biçimini düzelterek bu güvenlik açığını gideriyor.

Kesin Çözüm

Microsoft’un yayınlamış olduğu güncellemeleri buradaki adresten edinerek sisteminizi güncellemek.

Geçici Çözümler

1. Gerekmiyorsa Uzak Masaüstü Hizmetlerini devre dışı bırakmak.

Sisteminizde bu hizmetlere artık ihtiyaç duymuyorsanız hizmetleri devre dışı bırakabilirsiniz. Kullanılmayan ve gereksiz hizmetleri kapatmak güvenlik açıklarına maruz kalmanızı azaltmanıza yardımcı olacaktır.

2. Windows 7, Windows Server 2008 ve Windows Server 2008 R2’nin desteklenen sürümlerini çalıştıran sistemlerde Ağ Düzeyi Kimlik Doğrulamasını (NLA) etkinleştirin.

Kimliği doğrulanmamış bir saldırgan güvenlik açığından faydalanarak sisteminize erişim sağlamak istediğinde NLA sayesinde kimlik doğrulaması ile karşılaşacaktır ve hesabınıza ait parolayı bilmiyorsa erişmesi mümkün olmayacaktır.

3. Güvenlik duvarınızdan 3389 numaralı TCP portunu engelleyin.

Etkilenen sistemlerde 3389 numaralı TCP portu kullanılıyor. Bu bağlantı noktasına gelen istekleri güvenlik duvarınız ile engellemek, saldırganların buraya erişmesini engelleyecektir.

Not: Mevcut olarak sistemi exploit ettiği söylenen kodlar sürekli olarak Github gibi platformlarda ve forumlarda yayınlanmakta. Ancak yayınlanan kodlar ve programların bir çoğu tarafımızca incelendiğinde sistemleri crash edebilmekte veya programların içerisinde zararlı yazılımların bulunduğu tespit edilmekte. Zafiyetle ilgili kesin bir exploit aracı görseniz bile bu araçları tersine mühendislik yöntemleriyle analiz etmeden ve birkaç Sandbox üzerinde test etmeden çalıştırmamanızı öneriyoruz. Ek olarak, ilgili exploit aracını sanal makineler üzerinde çalıştırmanız daha sağlıklı olacaktır..

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.