Microsoft’un “Server Message Block” olarak bilinen SMB protokolünün 3.1.1 versiyonunun (SMBv3) sıkıştırma mekanizmasını kullanan yeni bir güvenlik açığı tespit edildi. İlgili zafiyet SMBv3 kullanan Windows 10 ve Windows Server cihazları etkiliyor.
Zafiyeti keşfeden siber güvenlik startup’ı ZecOps, ilgili açığı CVE-2020-1206 izleme numarası ile SMBleed olarak isimlendirildi. Aynı firma SMB protokolünü kullanıp uzaktan kod çalıştırılabilmesine imkan sağlayan ve Micrsoft tarafından “wormable” yani sistemden sisteme yayılabilen bir zafiyet olarak etiketlenen SMBGhost açığını da keşfetmişti. İlgili açık Mart ayında yayımlanan güvenlik güncellemesi ile kapatıldı.
SMBleed zafiyeti saldırganların “kernel memory”sine yetkisiz olarak erişip bilgi sızdırmasına imkan sağlıyor. Zafiyet Windows 10 ve Windows Server Core Installation 1903,1909 ve 2004 versiyonlarını etkiliyor.
Windows’un eski versiyonları SMBV3’ün sıkıştırma özelliğini desteklemediği için SMBLeed zafiyetinden de etkilenmiyor. Güvenlik uzmanlarının açıklamalarına göre SMBleed açığı ile saldırganlar hedef sistemle ilgili kritik bilgilere erişebiliyor ama saldırının tehlikeli hale gelmesi için SMBleed’in SMBGhost gibi bir uzaktan kod çalıştırma zafiyeti ile beraber kullanılması gerekiyor.
ZecOps’un raporuna göre Windows 10 versiyonlarının ilgili zafiyetten etkilenme durumu aşağıdaki gibidir.
SMBLeed açığına karşı alınabilecek önlemler
ZecOps’un bildirimine göre SMBleed, SMBGhost veya benzeri SMB protokolü üzerinden RCE (Remote Code Execution) şeklinde uzaktan kod çalıştırabilen başka bir zafiyetle beraber kullanıldığı zaman tehlikeli hale geliyor. Bu sebeple Microsoft’un önceki aylarda çıkardığı güvenlik güncellemelerini uygulamak önlemlerin en başında geliyor. Microsoft’un KB4560960 ve KB4557957 güvenlik güncellemelerini henüz uygulayamamış kullanıcılar için SMBv3 sıkıştırma özelliğini aşağıdaki gibi bir PowerShell komutuyla pasiflemesi öneriliyor.
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
Kurumsal kullanıcılar için TCP 445 portunun bloklanması da bir önlem olarak öneriliyor. Portun engellenmesi domaine kurum dışından gelecek atakları engellese de sistem halen kurum içinden gelebilecek ataklara karşı açık durumda kalabiliyor.
Biz hala SMB 1.0 kapatamıyorken 3 sürümünde zafiyet çıkması, konu ciddi.
Sorun şu BUNUN EXPLOİT’İ VAR
kafam karıştı. bir çok sitede Value -0 birçoğunda da Value -1 yazıyor. hangisi doğru ?