Haberler

KB5004442 Güncellemesi SIEM Gibi Sistemlerde WMI Erişim Sorunlarına Neden Oluyor

Haziran ayında yayınlanan güncellemelerden birisi olan KB5004442 yüklendikten sonra WMI erişim sorunlarına neden oluyor. Özellikle SIEM gibi ürünlerde WMI üzerinden log alınıyorsa kesinti yaşanmasına muhtemel.

Microsoft, Windows DCOM Server Security Feature Bypass (CVE-2021-26414) zafiyetini gidermek için yayınladığı güncelleme Distributed Component Object Model (DCOM)’de hardening yapıyor buda WMI erişimlerini reject ediyor. Çözüm ise ya KB5004442 güncellemesini kaldırmak yada aşağıdaki registry ayarlarını uygulamak.

Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

Value Name: "RequireIntegrityActivationAuthenticationLevel"

Type: dword

Value Data: default = 0x00000000 means disabled. 0x00000001 means enabled. If this value is not defined, it will default to enabled.

Ancak bu adımları uygularken veya güncellemeyi kaldırırken unutmamamız gereken şey, zafiyetin yeniden etkin olacak olması. Bu yüzden erişim sorunları yaşan ürünlerin üreticisi ile temasa geçip gerekli gümcellemeleri ürün tarafında yapılması.

Kaynak: Microsoft

İlgili Makaleler

2 Yorum

  1. Mehmet hocam merhaba

    KB numarası belli ancak muhtemelen güvenlik güncellemesi içine ataraktan bu işlemi yaptılar. Hangi update olduğuna dair bir bilginiz varmıdır ?

    1. Merhaba, o belli değil ama eventviewer’a girip systen loglarına bakarsanız ” DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application.” hata erişim evetnlarını göreceksiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.