Microsoft SMBv3 Compression Zafiyeti

Microsoft SMBv3 Compression Zafiyeti

Microsoft tarafından 10.03.2020 tarihinde CVE-2020-0796 kodu ile SMBv3 protokolünün güvenlik açığı barındırdığı duyurulmuştur.

Bu güvenlik açığından başarıyla yararlanan bir saldırgan, hedef SMB Sunucusu veya SMB İstemcisi'nde kod yürütme yeteneği kazanabildiği duyurulmuştur.

Bir SMB sunucusundaki güvenlik açığından yararlanmak için, kimliği doğrulanmamış bir saldırgan, hedeflenen bir SMBv3 Sunucusuna özel hazırlanmış bir paket gönderebileceği iletilmiştir.

Bu güvenlik açığından yararlanmak için, kimliği doğrulanmamış bir saldırganın kötü amaçlı bir SMBv3 Sunucusu yapılandırması ve kullanıcıyı bu sunucuya bağlanmaya ikna etmesi gerektiği bildirilmiştir.

Microsoft, bu açıklıkla ilgili bir geçici çözüm duyurmuştur.

Çözüm / Öneri

Microsoft tarafından güvenlik güncellemesi yayımlanana kadar aşağıdaki geçici çözümün uygulanması önerilmektedir.

SMBv3 Compression’ı Devre Dışı Bırakma

Kimliği doğrulanmamış saldırganların aşağıdaki PowerShell komutuyla bir SMBv3 Sunucusundaki güvenlik açığından yararlanmasını engellemek için sıkıştırmayı (compression) aşağıdaki PowerShell komutu ile devre dışı bırakabilirsiniz:

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services/ \LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Notlar:

1. Bu değişiklik reboot gerektirmemektedir.
2. Bu geçici çözüm SMB istemcilerinin güvenlik açığını engellememektedir.

Bu geçici çözüm aşağıdaki PowerShell komutu ile devre dışı bırakılabilir:

Set-ItemProperty-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

Microsoft tarafından yayınlanan geçici çözümlerin; herhangi bir güvenlik olayı oluşmadan önce, tüm ilgili sunucularda acilen uygulanması gerekmektedir. Zafiyet tespit sistemleri kullanılarak tüm sistemler bu güvenlik açığına karşı taranmalı ve tespit edilen sunucular bir an önce iyileştirilmelidir. Ek olarak, mümkünse güvenlik cihazlarında bu zafiyet ile ilgili imzaların devreye alınması faydalı olacaktır.

Tüm sistemlere geçmeden önce, herhangi bir iş kesintisine neden olunmaması açısından güncellemeyi test etmenizi önermekteyiz.

İşletim Sistemleri

Microsoft Client ve Microsoft Server sistemleri

Sürümler

Microsoft Windows 10, Microsoft Windows Server

CVE / CWE

CVE-2020-0796

Ek Bilgi

1. https://www.zdnet.com/article/details-about-new-smb-wormable-bug-leak-in-microsoft-patch-tuesday-snafu/
2. https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/
3. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

Güvenlik Zafiyet Bildirimleri