KB5004442 Güncellemesi SIEM Gibi Sistemlerde WMI Erişim Sorunlarına Neden Oluyor
Haziran ayında yayınlanan güncellemelerden birisi olan KB5004442 yüklendikten sonra WMI erişim sorunlarına neden oluyor. Özellikle SIEM gibi ürünlerde WMI üzerinden log alınıyorsa kesinti yaşanmasına muhtemel.
Microsoft, Windows DCOM Server Security Feature Bypass (CVE-2021-26414) zafiyetini gidermek için yayınladığı güncelleme Distributed Component Object Model (DCOM)’de hardening yapıyor buda WMI erişimlerini reject ediyor. Çözüm ise ya KB5004442 güncellemesini kaldırmak yada aşağıdaki registry ayarlarını uygulamak.
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: default = 0x00000000 means disabled. 0x00000001 means enabled. If this value is not defined, it will default to enabled.
Ancak bu adımları uygularken veya güncellemeyi kaldırırken unutmamamız gereken şey, zafiyetin yeniden etkin olacak olması. Bu yüzden erişim sorunları yaşan ürünlerin üreticisi ile temasa geçip gerekli gümcellemeleri ürün tarafında yapılması.
Kaynak: Microsoft
Mehmet hocam merhaba
KB numarası belli ancak muhtemelen güvenlik güncellemesi içine ataraktan bu işlemi yaptılar. Hangi update olduğuna dair bir bilginiz varmıdır ?
Merhaba, o belli değil ama eventviewer’a girip systen loglarına bakarsanız ” DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application.” hata erişim evetnlarını göreceksiniz.
Mehmet hocam selamlar,
2008 r2 üzerinde bulunan DPM 2012R2 ile server 2012 R2 ye bağlanmak istediğimde söz konusu hatayı alıyorum. Register ile disable yapmama ragmen bağlantı kuramıyorum. Alternatif var mı? bu iki sunucuyu hangi seviyede nasıl konuşturabilirim…