Haziran ayında yayınlanan güncellemelerden birisi olan KB5004442 yüklendikten sonra WMI erişim sorunlarına neden oluyor. Özellikle SIEM gibi ürünlerde WMI üzerinden log alınıyorsa kesinti yaşanmasına muhtemel.
Microsoft, Windows DCOM Server Security Feature Bypass (CVE-2021-26414) zafiyetini gidermek için yayınladığı güncelleme Distributed Component Object Model (DCOM)’de hardening yapıyor buda WMI erişimlerini reject ediyor. Çözüm ise ya KB5004442 güncellemesini kaldırmak yada aşağıdaki registry ayarlarını uygulamak.
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: default = 0x00000000 means disabled. 0x00000001 means enabled. If this value is not defined, it will default to enabled.
Ancak bu adımları uygularken veya güncellemeyi kaldırırken unutmamamız gereken şey, zafiyetin yeniden etkin olacak olması. Bu yüzden erişim sorunları yaşan ürünlerin üreticisi ile temasa geçip gerekli gümcellemeleri ürün tarafında yapılması.
Kaynak: Microsoft