Bu hafta (13.11.2019) Türkiye’ye yapılan saldırıların büyük bir bölümü 2019’un ağustos ayında açıklanan CVE-2019-1182 açığını kullanılarak yapıldı. Bunca zamandır yapılan saldırıların aksine bir RCE zafiyeti olarak, yani remote code execution olarak karşımıza çıkmakta. Kimliği doğrulanmamış saldırgan, ön kimlik doğrulama sayfasına erişmesi yetiyor. Saldırgan, uzaktan yürüttüğü kodlar sayesinde uygulama kurabilir, data görüntüleyebilir, değiştirebilir ve silebildiği için yeni kullanıcı tanımlayarak oluşturduğu kullanıcıya hak tanımlayabilir. Yani saldırgan bu açıktan yararlanmak için RDP aracılığı ile sisteme erişmesi yeterlidir; geriye sadece uzaktan kod çalıştırmak kalır.
İlgili saldırıdan korunmak için sistemlerinizi güncellemeniz yeterlidir.
RDP protokolünü gerekmedikçe açmamak, eğer gerekli ise Network Level Authentication (NLA)’yı aktif etmekte fayda var. Kullanıcılar NLA’nın aktif edilmediği makinelere herhangi bir kimlik doğrulaması gerekmediği için kolayca sızabiliyorlar.
Bunun yanı sıra firewall da RDP portu olan 3389’u gerekmedikçe açmamak, açılacak ise oldukça spesifik ayarlarla açmak gerekmektedir.
Bu açıktan sadece RDP 8.0 ve 8.1 versiyonları etkilenmektedir.
Yazımıza ilk olarak "Ağ segmentasyonu nedir?" sorusu ile başlamak daha efektif olacaktır. Ağ segmentasyonu sayesinde;…
Son 10 yılda internet kullanıcı sayısı %89 arttı. Bu artışın sonuçlarından biri de, hiç şüphesiz…
RoCE, son zamanlarda yeniden popüler olan bir konu olarak karşımıza çıkıyor. RoCE’yi anlayabilmemiz için ilk…
BT süreçlerinde, iş sürekliliği son derece önemli bir yere sahip durumda. Bu kapsamda bazen iyileştirme…
Bu yazımızda ActiveDirectory yapımızda bulunan bilgisayarları son oturum açma tarihlerine göre sıralayacağız. Last Logon Bilgilerine…
Bu yazımızda, yapımızda bulunan Exchange Server 2019 sunucularda Active Directory ayarlarını ve ayrıntılarını nasıl görebilir…