MICROSOFT SMB SUNUCULARI VE SMB İSTEMCİLERİNİ ETKİLEYEN BİR GÜVENLİK AÇIĞI TESPİT EDİLDİ

Microsoft Windows ortamında kullanılan SMBv3 (Server Message Block 3.1.1) protokolünü etkileyen kritik dereceli bir zafiyet duyuruldu. Microsoft’un henüz yamasını yayınlamadığı CVE-2020-0796 ID’li güvenlik açığı, zamanında önlem alınmadığı takdirde geçtiğimiz yıllarda büyük bir hızla yayılan WannaCry saldırısıyla eşit etki oluşturabilecek bir potansiyele sahip.

Microsoft tarafından “EternalDarkness” olarak adlandırılan zafiyet, Microsoft Sunucu İleti Bloğu (Server Message Block) 3.1.1 sürümünden (SMBv3) kaynaklanan, güvenlik riski “kritik” olarak derecelendirilen, saldırganın işletim sisteminde üst seviyede yetkili SYSTEM kullanıcı haklarıyla komut çalıştırabildiği bir uzaktan komut yürütme (RCE) güvenlik açığı niteliğindedir.

SMB servisi, tüm Windows işletim sistemlerinde var olan, varsayılan konfigürasyonda çalışır durumda olan bir servistir. Aşağıda belirtilen Windows işletim sistemi sürümlerinde bu servis, SMB 3.1.1 protokolü ile çalışmaktadır.

Microsoft tarafından yapılan açıklamaya göre, bildirilen güvenlik açığının istismar edilebilmesi  için herhangi özel bir yetkiye sahip olmayan saldırganın hedef Windows işletim sistemi üzerinde çalışan SMBv3 servisine, özel olarak hazırlanmış bir paket göndermesi yeterlidir.

Benzer şekilde, istemci niteliğindeki bilgisayarın, dosya paylaşım alanında bulunan belirtilen nitelikte özel hazırlanmış dosyayı, SMBv3 protokolü aracılığıyla kendine çekmesi de zafiyetin istismar edilmesini sağlayacaktır. Bunun için istemci bilgisayarın özel dosyayı indirmesi için ikna edilmesi/kandırılması gerekmektedir. CVE-2020-0796 ID’li güvenlik açığı kullanılarak, hem SMB servisi üzerinden paylaşım yapan bilgisayarlarda, hem de SMB servisinden hizmet alan istemci niteliğindeki bilgisayarlarda, saldırgan tarafından uzaktan komut çalıştırılabilmektedir.

Güvenlik Açığından Etkilenen Sistemler aşağıdaki gibidir;

  • Windows Server Versiyon 1903
  • Windows Server Versiyon 1909
  • Windows 10 Versiyon 1903 32-bit sistemler
  • Windows 10 Versiyon 1903 ARM64 tabanlı sistemler
  • Windows 10 Versiyon 1903 x64 tabanlı sistemler
  • Windows 10 Versiyon 1909 32-bit sistemler
  • Windows 10 Versiyon 1909 ARM64 tabanlı sistemler
  • Windows 10 Versiyon 1909 x64 tabanlı sistemler

Benzer zafiyeti istismar edebilen WannaCry fidye aracı, Mayıs 2017 tarihinden itibaren dünya geneline hızla yayılmış, Windows XP ve Windows’un eski sürümlerini çalıştıran sistemleri sömürerek birçok bilgisayarda ciddi veri kayıplarına ve sistemlerin devredışı kalmasına neden olmuştur. Microsoft, bu açıkla ilgili yamayı hızlıca yayınlasa da birçok eski ve savunmasız sistem güncellenmediğinden dünya genelinde birçok sistem bu saldırılardan etkilenmiştir. Europol’a göre WannaCry, 150 ülkede yaklaşık 200 binin üzerinde bilgisayarı etkilemiştir. CVE-2020-0796 ID’li yeni zafiyet için de gerekli güncellemeler yapılmadığı takdirde dünya genelinde böyle bir durumun ortaya çıkması beklenmektedir.

Çözüm Önerisi

Microsoft SMBv3 “wormable” Uzaktan Komut Yürütme güvenlik açığından korunmak için halihazırda Microsoft’un yayınladığı bir yama bulunmamaktadır. Kalıcı çözüm olacak yama yayınlanana kadar, geçici çözüm olarak SMBv3’ün Compression özelliğini devre dışı bırakmak mümkündür. Microsoft Server Message Block 3.1.1’ün (SMBv3) Compression özelliğini devre dışı bırakmak için aşağıdaki PowerShell komutunu kullanabilirsiniz.

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

Geçici çözüm, dosya paylaşımı için SMBv3.1.1 servisini çalıştıran bilgisayarı korumakla birlikte, kandırılmış/ikna edilmiş istemci bilgisayarın kendilerine dosya çekmesi halinde koruma sağlamamaktadır. İstemci bilgisayarların, bilinmeyen/güvenilmeyen SMB servis kaynaklarına erişimine izin verilmemelidir.

Zafiyetle ilgili henüz bilinen bir “Exploit” mevcut değildir. Böyle bir Exploitin ortaya çıkması durumunda, siber saldırganlar, Microsoft SMBv3 RCE (CVE-2020-0796) zafiyeti aracılığıyla, gerekli tedbir alınmamış sistemleri ele geçirilebilir. Benzer şekilde bu zafiyeti istismar eden fidye yazılımları, kurum kullanıcı bilgisayarlarındaki ve sunuculardaki verileri kullanılamaz hale getirebilir. Bu nedenle kurumların, mümkün olan en kısa sürede geçici çözümü uygulaması, yakın zamanda Microsoft tarafından yayımlanacağı düşünülen CVE-2020-0796 zafiyetine ait yamayı vakit kaybetmeden kurmaları önerilmektedir.

Kullanıcı bilgisayarlarında, Symantec Endpoint Protection (SEP) kullanan kurumlar için Symantec tarafından belirtilen tipte paket akışını bilgisayarın ağ trafiğinde tespit eden ve bloklayan IPS imzaları yayımlanmıştır. (32098 (OS Attack: Microsoft Server Message Block RCE CVE-2020-0796); 32099 (Audit: Microsoft Compressed SMB Packet)). SEP, IPS imzalarının en güncel sürüme güncellenmesi tavsiye edilmektedir.

Ayrıca yakın bir zamanda Tenable’ın Nessus Pro ve Security Center zafiyet tarama araçlarıyla, bu zafiyetin kurumunuzda var olup olmadığını tespit edebilecek, uygulanan güvenlik önlemlerinin işe yarayıp yaramadığını da görebileceksiniz.

Bu güvenlik zafiyetiyle ilgili Microsoft aşağıdaki yamayı yayınladı. Müşterilerimizin en kısa sürede bu yamayı uygulamalarını önermekteyiz.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

Referanslar:

1. https://www.kb.cert.org/vuls/id/872016/
2. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
3. https://www.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block
4. https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/

5. Symantec

6. https://knowledge.broadcom.com/external/article/186071