Yeni Tip RDP Saldırıları | CVE-2019-1182

Bu hafta (13.11.2019) Türkiye’ye yapılan saldırıların büyük bir bölümü 2019’un ağustos ayında açıklanan CVE-2019-1182 açığını kullanılarak yapıldı. Bunca zamandır yapılan saldırıların aksine bir RCE zafiyeti olarak, yani remote code execution olarak karşımıza çıkmakta. Kimliği doğrulanmamış saldırgan, ön kimlik doğrulama sayfasına erişmesi yetiyor. Saldırgan, uzaktan yürüttüğü kodlar sayesinde uygulama kurabilir, data görüntüleyebilir, değiştirebilir ve silebildiği için yeni kullanıcı tanımlayarak oluşturduğu kullanıcıya hak tanımlayabilir. Yani saldırgan bu açıktan yararlanmak için RDP aracılığı ile sisteme erişmesi yeterlidir; geriye sadece uzaktan kod çalıştırmak kalır.

İlgili saldırıdan korunmak için sistemlerinizi güncellemeniz yeterlidir.

Hangi İşletim Sistemleri Etkilenmektedir ve Hangi KB Geçilmelidir?

  1. Windows 10
    1. Windows 10 – 32 Based System (KB4512497)
    2. Windows 10 – x64 Based System (KB4512497)
    3. Windows 10 1607
      1. Windows 10 1607 32  (KB4512517)
      2. Windows 10 1607 x64 (KB4512517)
    4. Windows 10 1703
      1. Windows 10 1703 – 32 Based System (KB4512507)
      2. Windows 10 1703 – x64 Based System (KB4512507)
    5. Windows 10 1709
      1. Windows 10 1709 – 32 Based System (KB4512516)
      2. Windows 10 1709 – x64 Based System (KB4512516)
      3. Windows 10 1709 – ARM64 Based System (KB4512516)
    6. Windows 10 1803
      1. Windows 10 1803 – 32 Based System (KB4512501)
      2. Windows 10 1803 – x64 Based System (KB4512501)
      3. Windows 10 1803 – ARM64 Based System (KB4512501)
    7. Windows 10 1809
      1. Windows 10 1809 – 32 Based System (KB4511553)
      2. Windows 10 1809 – x64 Based System (KB4511553)
      3. Windows 10 1809 – ARM64 Based System (KB4511553)
    8. Windows 10 1903
      1. Windows 10 1903 – 32 Based System (KB4512508)
      2. Windows 10 1903 – 64 Based System (KB4512508)
      3. Windows 10 1903 – ARM64 Based System (KB4512508)
  2. Windows 8.1
    1. Windows 8.1 – 31 Based System (KB4512489)
    2. Windows 8.1 – x64 Based System (KB4512489)
  3. Windows RT 8.1 (KB4512488)
  4. Windows 7 SP1
    1. Windows 7 SP1 – 32 Based System (KB4512486)
    2. Windows 7 SP1 – x64 Based System (KB4512486)
  5. Windows Server 2008 R2
    1. Windows Server 2008 R2 – Itanium Based System (KB4512486)
    2. Windows Server 2008 R2 – x64 Based System (KB4512486)
    3. Windows Server 2008 R2 – Core Based System (KB4512486)
  6. Windows Server 2012
    1. Windows Server 2012 (KB4512482)
    2. Windows Server 2012 – Core Based System (KB4512482)
  7. Windows Server 2012 R2
    1. Windows Server 2012 R2 (KB4512489)
    2. Windows Server 2012 R2 – Core Based System (KB4512489)
  8. Windows Server 2016
    1. Windows Server 2016 – x64 Based System (KB4512517)
    2. Windows Server 2016 – Core Based System (KB4512517)
  9. Windows Server 2019
    1. Windows Server 2019 – x64 Based System (KB4511553)
    2. Windows Server 2019 – Core Based System (KB4511553)
  10. Windows Server
    1. Windows Server 1803 – Core Based System (KB4512501)
    2. Windows Server 1809 – Core Based System (KB4512508)

Peki bu güncelleştirmelere ek olarak neler yapabiliriz?

RDP protokolünü gerekmedikçe açmamak, eğer gerekli ise Network Level Authentication (NLA)’yı aktif etmekte fayda var. Kullanıcılar NLA’nın aktif edilmediği makinelere herhangi bir kimlik doğrulaması gerekmediği için kolayca sızabiliyorlar.

Bunun yanı sıra firewall da RDP portu olan 3389’u gerekmedikçe açmamak, açılacak ise oldukça spesifik ayarlarla açmak gerekmektedir.

Bu açıktan sadece RDP 8.0 ve 8.1 versiyonları etkilenmektedir.

Bir Cevap Yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.