CVE-2020-16898: “Bad Neighbor” hakkında rapor
CVE-2020-16898: “Bad Neighbor”
CVSS Score: 9.8
CVSS Vector:
CVSS3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C
Genel Bilgi:
13 Ekim 2020’de, Microsoft için olağanüstü kritik seviyede ve CVSS puanı
9.8 olan güvenlik açığı bildirildi. Bu güvenlik açığından başarıyla yararlanan
bir saldırgan TCP/ IP üzerinden hedef sunucuda veya istemcide kod yürütme
becerisi kazanabiliyor. MAPP(https://www.microsoft.com/en-us/msrc/mapp)
üyeleri tarafından paylaşılan kavram kanıtı(PoC) hem son derece basit hem de
tamamen güvenilirdir. Adlandırma kolaylığı açısından güvenlik açığı “Bad Neighbor” olarak isimlendirildi, sebebine
değinilecek olunursa zafiyetin “Router Advertisement” bilinen adıyla
“DNS RA options” seçenekleri kullanılarak ICMPv6 protokolü içeresinde bulunuyor
olmasıdır. Mevcut exploit uzaktan kod çalıştırma olasılığı ile
birlikte bir Hizmet Reddine (DoS) yol açar.
Güvenlik açığı ayrıntısı MacAfee
ekibi tarafından ortaya çıktı.
Etkilenen Sürümler:
Microsoft Window Server 2019, version 1903/1909/2004
Microsoft Windows 10 version 1709/1803/1809/1903/1909/2004
CVE-2020-16898 için Etki
Azaltma Eylemleri
Her zaman olduğu gibi kullanıcıların
sistemlerini mümkün olan en kısa sürede yama yapmalarını tavsiye edilmektedir.
Bir yama uygulanana kadar Microsoft bu güvenlik açığını azaltmak için
kullanılabilecek bir kılavuz yayınladı. Microsoft'un yayınladığı kılavuzu anlamaya
yardımcı olmak ve IPv6 RDNSS'yi devre dışı bırakmak için atılması gereken
adımları aşağıda bulabilirsiniz.
Yönetici olarak komut istemini açın
a. Netsh int ipv6 sh int
Bu komut, karşılık gelen dizin numaralarıyla birlikte tüm
ağ IPv6 arabirimlerinin bir listesini sağlayacaktır.
Örnek:
b. netsh int ipv6 set int Idx number
rabaseddnsconfig=disable komutunu çalıştırın. Idx numarasını, a
adımında listelenen Idx numarasıyla değiştirmek gerekiyor. Bu, her arabirim
için RDNSS özelliğini devre dışı bırakarak güvenlik açığını azaltmasına olanak
sağlayacaktır.
c. RDNSS komutunun devre dışı bırakıldığını
anlamak için netsh int ipv6
sh int Idx number komutunu
çalıştırın. Bu komut, için istenen ara yüz için parametreleri aşağıdaki örnekte
olduğu gibi çıkacaktır.
Örnek:
*RA Tabanlı DNS Yapılandırması (RFC 6106) her
arabirim için devre dışı bırakılmalıdır.
[1] https://github.com/advanced-threat-research/CVE-2020-16898/blob/main/ReadMe.md
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
[3] https://unit42.paloaltonetworks.com/cve-2020-16898/