CVE-2021-1678 olarak bilinen zafiyetin tam detayları bilinmiyor. Ancak zafiyet kullanılarak Windows makineler üzerinde uzaktan erişim yapılabildiği aktarılıyor. Crowdstrike firmasına bağlı güvenlik araştırmacıları, yaptığı çalışmada zafiyetin kapatılmasının önemli olduğunu aktardı. Çünkü, zafiyet kullanılarak uzaktan komut çalıştırma imkanı sağlandığı belirtildi.
NTML üzerinde zafiyet
Zafiyetin kullanılması için NTML kimlik doğrulama oturumlarının hedef alınan makineye gönderildiği, uzaktan komut çalıştırabilmek için de MSRPC arabiriminin yazıcı biriktiricisi kullanıldığı aktarıldı.
NTLM saldırılarının bir ağa erişim sağlayan hackerların, sunucu ve istemci arasına girdiği ve böylece ‘man in the middle’ yani ortadaki adam saldırısı yapdığı kaydedildi. Varsayılan kimlik doğrulama trafiğinin engellenmesi ve ağ hizmetlerine erişilmesi için de kimlik doğrulama isteklerinin aktarıldığı belirtildi.
Bu saldırı, SMB ve LDAP imzalama, Kimlik Doğrulama için Gelişmiş Koruma (RPA) açılarak engellenebiliyor.
Microsoft ise RPC kimlik doğrulama düzeyinin artırılması ve sunucu üzerinde ‘policy’ yani politika ayarlamalarıyla güvenliğin sağlandığını aktardı. Zafiyetten korunmak için 12 Ocak tarihli Windows güncellemesinin yüklenmesi ve ‘Zorlama modu’ (Enforcement mode) için kapatma işlemi yapılası gerektiği bildirdi. Bu modun 8 Haziran 2021 itibariye tüm Windows makinelerinde otomatik olarak kapatılacağı kaydedildi.
Editör : SavunmaTR Haber Merkezi
