Geçen hafta, Windows Server işletim sistemlerinde yetkisiz kod çalıştırmaya olanak sağlayan bir zaafiyet tespit edildi. Bu zaafiyet ile saldırgan, kullanıcı kimlik doğrulama adımlarını atlatarak sisteme sızabilmekte.
CVE-2020-1472 kodu ile isimlendirilen zaafiyet ile ilgili Microsoft, Ağustos ayında yayınladığı yamalarla kapatmıştı. Yani güncel değilseniz, risk altında olabilirsiniz.
Elde edilen bir bulguya göre zafiyet, kriptografik bir hatadan meydana gelmektedir. Windows, Ağustos yamalarını açıklarken böyle bir güvenlik zafiyetini kapadıklarını açıklamadı. Ama Hollandalı bir güvenlik şirketi olan Secura, Windows Active Directory bileşeni olan Netlogon da açığı keşfettiğini duyurdu.
Netlogon Nedir
Domain yapısı olan ortamlarda, bilgisayarların ilgili domain controller sunucularını bulup, oturum açmasını sağlayan kritik bir servistir. Bilgisayar ile domain controller arasında güvenli bir bağlantı sağlar ve debug loglarını netlogon.log isimli dosyada tutar.
Netlogon, yukarıda da bahsettiğim üzere RPC olarak konumlandırılan bir servis.
Netlogon dökümanını incelemek isterseniz Microsoft tarafından hazırlanan Netlogon Remote Protocol dosyasına bakabilirsiniz.
Ne Yapmalı?
Sonuç olarak Zerologon açığı tahminen tüm Domain Controller sürümlerinde var olan bir açık. Bu açığı kapatmanız için domain controller sunucularınızın güncel olması gerekmektedir.
Microsoft’un Windows Server 2008 R2’den sonraki işletim sistemlerine yayınladığı CVE-2020-1472 yamaları için aşağıda ki bağlantıyı takip edebilirsiniz;
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
Yamalardan sonra açığın kapanıp kapanmadığını da aşağıda ki python scripti ile öğrenebilirsiniz;
https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472
