Güvenlik Açığı : CVE-2020-1350 Windows DNS sunucularında Açık Tespit Edildi!

14/07/2020 tarihinde Microsoft, Windows DNS sunucusunda CVE-2020-1350 güvenlik açığı olduğunu açıkladı! Bu güvenlik açığı CVSS ölçeğinde 10 puan aldı, bu da bu açığın kritik olduğu anlamına geliyor.

28/07/2020 tarihinde ise bazı güvenlik güncellemeler yayınlayarak kullanıcılarına güvenlik açığı hakkında aşağıdaki linkte inceleyebileceğiniz bazı bilgiler verdi.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

Saldırganlar ancak bu açığı sunucular yalnızca sistem DNS sunucu modunda çalışıyorsa kullanabiliyorlar. 

Güvenlik açığı nedir ve nasıl tehlikelidir?

CVE-2020-1350, Windows Server’ı çalıştıran DNS sunucularını kötü amaçlı kodları uzaktan yürütmeye zorlar. Başka bir deyişle, güvenlik açığı RCE sınıfına aittir. CVE-2020-1350 kötüye kullanmak için, bir kişinin sadece DNS sunucusuna özel olarak oluşturulan istek göndermesi yeterlidir.

Üçüncü taraf kod, daha sonra LocalSystem hesabında yürütülür. Bu hesap, yerel bilgisayarda geniş ayrıcalıklara sahiptir ve ağda bir bilgisayar görevi görür. Buna ek olarak, güvenlik alt sistemi LocalSystem hesabını tanımaz. Microsoft’a göre, güvenlik açığının en büyük tehlikesi, yerel ağ üzerinden bir tehdit yaymak için kullanılabilmesidir. Bu nedenle, solucan olarak sınıflandırılır.

CVE-2020-1350 kimleri tehdit ediyor?

Windows Server’ın tüm sürümleri, yalnızca DNS sunucu modunda çalışıyorsa, güvenlik açığına karşı tehdit altındadır. Şirketinizin bir DNS sunucusu yoksa veya farklı bir işletim sistemine dayalı bir DNS sunucusu kullanıyorsa endişelenmenize gerek yoktur.

Microsoft sistemin güncellenmesini önermesinden sonra, siber suçluların güvenlik açığından nasıl yararlanılabileceğini bulmak için savunmasız DNS sunucularına ve yayımlanan güvenlik yamalara odaklanması muhtemeldir. Herkes geç olmadan güvenlik yamayı yüklemesi önerilir.

Ne yapmalı?

Yukarıda belirtildiği gibi, en iyi eylem DNS sunucuları tarafından istekleri işleme yöntemini değiştiren Microsoft güvenlik yamasın yüklemektir.

Yama, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server sürüm 1903, Windows Server sürüm 1909 ve Windows Server sürüm 2004 için kullanılabilir. Bu güvenlik açığına ayrılmış Microsoft sayfasından yamayı indirebilirsiniz.

Ancak, bazı büyük şirketlerin dâhili kuralları ve yazılım güncelleştirmeleri için belirlenmiş bir iç kuralları vardır ve sistem yöneticileri yamayı hemen yükleyemeyebilir.

Özel Ayarlanmış Kurumsal sunucunuz için, DNS sunucularının gizliliğinin ihlal edilmesini önlenme amacında Microsoft bir geçici çözüm de önerdi.

Önemli; Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bir sorun olması halinde değiştirmeden önce geri yükleyebilmek için kayıt defterini yedekleyin.

Sistem kayıt defterinde aşağıdaki değişiklikleri yapmayı içerir: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

DWORD = TcpReceivePacketSize

Value = 0xFF00

Varsayılan (Ayrıca en yüksek) değer veri = 0xFFFF.

Önerilen değer = 0Xff00 (255 bayt).

Kayıt defteri değişikliğinin etkinleşmesi için DNS hizmetini yeniden başlatmanız gerekir. Bunu yapmak için, yükseltilmiş bir komut isteminde aşağıdaki komutu çalıştırırsınız:

net stop dns && net start dns

Geçici çözüm uygulandıktan sonra, yukarı akış sunucusundan gelen DNS yanıtı 65.280 bayttan büyükse Windows DNS sunucusu istemcileri için DNS adlarını çözümleyemez.

• Bu makale bildirim amacıyla yayımlanmış olup sorumluluk kullanıcıya aittir. Firmamız hiç bir şekilde sorumluluk kabul etmemektedir. Konu hakkında bilgiye sahip değilseniz, kurumsal destek almanız tavsiye edilir.

30/07/2020 - Perşembe