Categories: Uncategorized

Yeni Tip RDP Saldırıları | CVE-2019-1182

Bu hafta (13.11.2019) Türkiye’ye yapılan saldırıların büyük bir bölümü 2019’un ağustos ayında açıklanan CVE-2019-1182 açığını kullanılarak yapıldı. Bunca zamandır yapılan saldırıların aksine bir RCE zafiyeti olarak, yani remote code execution olarak karşımıza çıkmakta. Kimliği doğrulanmamış saldırgan, ön kimlik doğrulama sayfasına erişmesi yetiyor. Saldırgan, uzaktan yürüttüğü kodlar sayesinde uygulama kurabilir, data görüntüleyebilir, değiştirebilir ve silebildiği için yeni kullanıcı tanımlayarak oluşturduğu kullanıcıya hak tanımlayabilir. Yani saldırgan bu açıktan yararlanmak için RDP aracılığı ile sisteme erişmesi yeterlidir; geriye sadece uzaktan kod çalıştırmak kalır.

İlgili saldırıdan korunmak için sistemlerinizi güncellemeniz yeterlidir.

Hangi İşletim Sistemleri Etkilenmektedir ve Hangi KB Geçilmelidir?

  1. Windows 10
    1. Windows 10 – 32 Based System (KB4512497)
    2. Windows 10 – x64 Based System (KB4512497)
    3. Windows 10 1607
      1. Windows 10 1607 32  (KB4512517)
      2. Windows 10 1607 x64 (KB4512517)
    4. Windows 10 1703
      1. Windows 10 1703 – 32 Based System (KB4512507)
      2. Windows 10 1703 – x64 Based System (KB4512507)
    5. Windows 10 1709
      1. Windows 10 1709 – 32 Based System (KB4512516)
      2. Windows 10 1709 – x64 Based System (KB4512516)
      3. Windows 10 1709 – ARM64 Based System (KB4512516)
    6. Windows 10 1803
      1. Windows 10 1803 – 32 Based System (KB4512501)
      2. Windows 10 1803 – x64 Based System (KB4512501)
      3. Windows 10 1803 – ARM64 Based System (KB4512501)
    7. Windows 10 1809
      1. Windows 10 1809 – 32 Based System (KB4511553)
      2. Windows 10 1809 – x64 Based System (KB4511553)
      3. Windows 10 1809 – ARM64 Based System (KB4511553)
    8. Windows 10 1903
      1. Windows 10 1903 – 32 Based System (KB4512508)
      2. Windows 10 1903 – 64 Based System (KB4512508)
      3. Windows 10 1903 – ARM64 Based System (KB4512508)
  2. Windows 8.1
    1. Windows 8.1 – 31 Based System (KB4512489)
    2. Windows 8.1 – x64 Based System (KB4512489)
  3. Windows RT 8.1 (KB4512488)
  4. Windows 7 SP1
    1. Windows 7 SP1 – 32 Based System (KB4512486)
    2. Windows 7 SP1 – x64 Based System (KB4512486)
  5. Windows Server 2008 R2
    1. Windows Server 2008 R2 – Itanium Based System (KB4512486)
    2. Windows Server 2008 R2 – x64 Based System (KB4512486)
    3. Windows Server 2008 R2 – Core Based System (KB4512486)
  6. Windows Server 2012
    1. Windows Server 2012 (KB4512482)
    2. Windows Server 2012 – Core Based System (KB4512482)
  7. Windows Server 2012 R2
    1. Windows Server 2012 R2 (KB4512489)
    2. Windows Server 2012 R2 – Core Based System (KB4512489)
  8. Windows Server 2016
    1. Windows Server 2016 – x64 Based System (KB4512517)
    2. Windows Server 2016 – Core Based System (KB4512517)
  9. Windows Server 2019
    1. Windows Server 2019 – x64 Based System (KB4511553)
    2. Windows Server 2019 – Core Based System (KB4511553)
  10. Windows Server
    1. Windows Server 1803 – Core Based System (KB4512501)
    2. Windows Server 1809 – Core Based System (KB4512508)

Peki bu güncelleştirmelere ek olarak neler yapabiliriz?

RDP protokolünü gerekmedikçe açmamak, eğer gerekli ise Network Level Authentication (NLA)’yı aktif etmekte fayda var. Kullanıcılar NLA’nın aktif edilmediği makinelere herhangi bir kimlik doğrulaması gerekmediği için kolayca sızabiliyorlar.

Bunun yanı sıra firewall da RDP portu olan 3389’u gerekmedikçe açmamak, açılacak ise oldukça spesifik ayarlarla açmak gerekmektedir.

Bu açıktan sadece RDP 8.0 ve 8.1 versiyonları etkilenmektedir.

mutkus

Leave a Comment
Share
Published by
mutkus
Tags: CVE-2019-1182RDPrdp rceserver 2019 rdp exploitwindows 10 rdp
4 yıl ago

Recent Posts

Networklerde Mikro Segmentasyonun

Yazımıza ilk olarak "Ağ segmentasyonu nedir?" sorusu ile başlamak daha efektif olacaktır. Ağ segmentasyonu sayesinde;…

3 hafta ago

Son Kullanıcı Deneyimini Artırmada Ağ Görünürlüğünün Rolü

Son 10 yılda internet kullanıcı sayısı %89 arttı. Bu artışın sonuçlarından biri de, hiç şüphesiz…

3 hafta ago

RDMA ve RoCE Nedir?

RoCE, son zamanlarda yeniden popüler olan bir konu olarak karşımıza çıkıyor. RoCE’yi anlayabilmemiz için ilk…

7 ay ago

VMware vMotion Nedir?

BT süreçlerinde, iş sürekliliği son derece önemli bir yere sahip durumda. Bu kapsamda bazen iyileştirme…

1 yıl ago

AD PowerShell: Son Oturum Açma Bilgileri

Bu yazımızda ActiveDirectory yapımızda bulunan bilgisayarları son oturum açma tarihlerine göre sıralayacağız. Last Logon Bilgilerine…

1 yıl ago

EXCHANGE 2019’DA AD SERVER AYARLARI

Bu yazımızda, yapımızda bulunan Exchange Server 2019 sunucularda Active Directory ayarlarını ve ayrıntılarını nasıl görebilir…

1 yıl ago