Microsoft’ta Kritik RCE zafiyeti #46

Microsoft, SMB 3.1.1 (SMBv3) protokolünü etkileyen kritik bir RCE zafiyeti hakkında bildiri yayınladı. CVE-2020-0796 kodlu bu zafiyet, saldırganların SMB sunucuları ve SMB istemcileri üzerinde rastgele komutlar çalıştırabilmelerine olanak sağlıyor.

Zafiyetten etkilenen işletim sistemi sürümleri aşağıda yer almaktadır.

• Windows 10 1903
• Windows 10 1909
• Windows Server 1903
• Windows Server 1909
• Windows Server 2012
• Windows 8

Bu zafiyetten yararlanarak SMB sunucularını ele geçirmek isteyen saldırganlar, özel olarak hazırladıkları paketleri kimlik doğrulama işlemi gerçekleştirmeden SMBv3 sunucularına yollayabilirler. SMB istemcilerini ele geçirmek için ise, bir SMBv3 sunucusu yapılandırarak kullanıcıların bu sunucuya bağlanmalarını sağlayabilirler. Böylece hedef sistemler üzerinde komut çalıştırabilirler.

Henüz bir güncelleştirme yayınlanmayan zafiyet ile ilgili Microsoft’un aslında Mart ayı içerisinde bir güncelleştirme yayınlamayı planladığı ve bir şirketin zafiyet ile ilgili detayları yanlışlıkla paylaşmasından dolayı, Microsoft’un planlanan tarihten önce zafiyet ile ilgili detayları açıklamak zorunda kaldığı belirtildi.

Microsoft, geçici çözüm olarak SMBv3 sıkıştırmasının devre dışı bırakılmasını ve 445/TCP portunun dışarıdan erişime kapatılmasını öneriyor. SMBv3 sıkıştırmasının devre dışı bırakılması için aşağıdaki Powershell komutu çalıştırılmalıdır:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

Sistemlerin zafiyetten etkilenmemesi için güncelleştirme yayınlanana kadar geçici çözümlerin uygulanması önerilmektedir.

Exchange Server RCE Zafiyeti Çok Sayıda Kurumu Etkiledi

Geçtiğimiz ay Microsoft Exchange Server 2010, 2013, 2016 ve 2019 versiyonlarını etkileyen kritik bir güvenlik zafiyeti keşfedildi. CVE-2020-0688 kodlu bu zafiyet, saldırganların işletim sistemi üzerinde uzaktan komut çalıştırmalarına izin veriyor.

Saldırganlar hedef sisteme yönelik saldırı gerçekleştirebilmek için aşağıdaki adımları uyguluyor:

• İlk olarak Exchange Server üzerinde oturum açılır.
• Ardından COOKIE bilgisi içerisinden ASP.NET.SessionID ve Exchange Kontrol Paneline erişim sağlayan VIEWSTATEGENERATOR verileri alınır.
• Son olarak, uzaktan komut çalıştırmak için elde edilen veriler kullanılarak zararlı bir payload hazırlanır ve sunucuya gönderilir.

Sunucuya yapılan istek sonucunda, sunucu VIEWSTATE verisini çözümler ve zararlı kodlar işletim sistemi üzerinde SYSTEM haklarıyla çalışır. Saldırının demo videosuna buradan ulaşabilirsiniz. Zafiyet, Microsoft tarafından şubat ayında yayınlanan güncelleştirmelerle birlikte giderildi. Ancak araştırmacılar, güncelleştirmeler yayınlandıktan sonra bu zafiyetten yararlanmış olan çok sayıda Çinli APT grubu olduğunu ve şubat ayı sonunda başlayan saldırılardan çok sayıda kurumun etkilendiğini açıkladılar. Saldırılardan etkilenmemek için en kısa sürede güncelleştirmelerin yapılması önerilmektedir.

PPP Servisinde 17 Yıllık Güvenlik Açığı

Amerika’nın milli siber güvenlik birimi US-CERT; Dial-up modemler, DSL bağlantıları, VPN bağlantıları gibi işlemlerde kullanılan PPPd servisi üzerinde 17 yıllık kritik bir güvenlik zafiyeti olduğunu açıkladı.

Zafiyeti bulan güvenlik araştırmacısının yaptığı açıklamaya göre asıl sorun, PPPd yazılımının EAP(Extensible Authentication Protocol) paket ayrıştırıcısından kaynaklanıyor ve Stack Buffer Overflow zafiyetine neden oluyor.

CVE-2020-8597 koduyla tanımlanan zafiyetin CVSS skoru 10 üzerinden 9.8 olarak belirtildi. Zafiyetin kritiklik seviyesinin yüksek olmasındaki sebep, PPPd’nin kernel seviyesinde çalışması ve zafiyetin başarılı bir şekilde exploit edilmesi durumunda saldırganın sistem üzerinde root haklarıyla komut çalıştırabilmesi olarak belirtildi.

Zafiyetli PPPd sürümlerinin varsayılan olarak yüklü geldiği Linux dağıtımları ve network cihazları aşağıdaki gibidir.

• Debian
• Ubuntu
• SUSE Linux
• Fedora
• NetBSD
• Red Hat
• Cisco CallManager
• TP-LINK ürünleri
• OpenWRT Gömülü İşletim Sistemi
• Synology ürünleri

Araştırmacıya göre bu zafiyet PPP Daemon 2.4.2 – 2.4.8 arası bütün sürümleri etkiliyor. Zafiyetin giderilmesi için gerekli güncelleştirmeler henüz yayınlanmadı. Zafiyetli PPPd sürümlerini kullanan kullanıcıların güvenlik güncelleştirmelerini takip etmeleri ve güncelleştirmeler yayınlanır yayınlanmaz sistemlerini güncellemeleri önerilmektedir.

Virgin Media Şirketinde Veri İhlali Yaşandı

Telekomünikasyon sağlayıcısı Virgin Media şirketinde yaklaşık 900.000 kişinin bilgilerinin ifşa olduğu bir veri ihlali yaşandı. Yaşanan veri ihlalini TurgenSec firmasındaki güvenlik araştırmacıları keşfetti ve Ulusal Medya Siber Güvenlik Merkezi (NCSC), siber güvenlik yönergelerine uygun olarak olayı Virgin Media Şirketine bildirildi. Virgin Media konu ile ilgili veri ihlalinin herhangi bir siber saldırıdan dolayı değil, veritabanının yanlış konfigüre edilmesinden dolayı meydana geldiğini açıkladı. Yapılan açıklamanın devamında, Virgin Media’ya ait veritabanlarının birinde, depolanan bilgilere izinsiz olarak erişildiği belirtildi.

Virgin Media Ceo’su Lutz Schüler, müşterilere ait aşağıdaki bilgilerin sızdığını açıkladı:

• Müşterinin Adı
• Ev adresleri
• E-mail adresleri
• Telefon numaraları
• Müşteriler tarafından talep edilen ürün bilgileri
• Müşterinin doğum tarihi

Virgin Media, sızan bilgiler arasında kredi kartı bilgileri, hesap numaraları gibi finansal bilgilerin ve müşteri hesabı parolaları gibi kritik bilgilerin olmadığını belirtti.