Gün geçmiyor ki Windows sistemler için yeni bir açık daha yayınlanmasın. CVE-2019-0708 güvenlik kodu ile yayınlanan bu zaafiyette, RDP protokolünün işleyişi kullanılıyor. Microsoft’tan yapılan açıklamaya göre ciddi sonuçlar doğurabiliyor.
Exploit Hakkında
BlueKeep olarakta adlandırılan bu açıkta saldırgan ilk olarak hedef işletim sistemini tarıyor. Windows Server 2008 R2 veya Windows 7 ve öncesi sistemlerinde bulunan bu açık için, işletim sistemi tespitinden sonra açık için tarama yapılır. İstismar için uygun koşullar bulunduktan sonra saldırgan, RDP protokolü aracılığı ile zararlı istek (payload) gönderimine başlar. Kullanıcı etkileşimi gerekmeyen bu saldırıda, hedef sistemde kod çalıştırabilme hakkına sahip olabiliyor. Bu sayede sistemde program ekleme veya kaldırma, veri silme veya veri değiştirme gibi sistem üzerinde değişiklikler yapabiliyor.
WannaCry gibi büyük bir etki yapması beklenen bu saldırıda, aynı WannaCry’da olduğu gibi Shodan ve Binary Edge saldırganların en büyük yardımcısı.
Tespit ve Çözüm
BlueKeep, işe network taraması ile başladığı için bünyenizde bulunduracağınız bir IPS / IDS ürünü ile saldırıyı keşfedebilme olasılığınız bir hayli yüksek. Bunun dışında RDP yönetiminizi sıkı tutmanız ve ağ kontrollerinizi iyi yapmanızda fayda var. Saldırganın sisteme sızma anlarında bağlantının kopması ile işletim sisteminin çökerek mavi ekrana düşebileceği de belirtiliyor.
Microsoft’un yayınladığı güvenlik güncelleştirmesine aşağıda ki adresten ulaşabilirsiniz:
https://support.microsoft.com/tr-tr/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
