15 Ekim 2020 Perşembe

CVE-2020-16898: “Bad Neighbor” hakkında rapor

 

CVE-2020-16898: “Bad Neighbor”

CVSS Score: 9.8

CVSS Vector: CVSS3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C

 

Genel Bilgi:

13 Ekim 2020’de, Microsoft için olağanüstü kritik seviyede ve CVSS puanı 9.8 olan güvenlik açığı bildirildi. Bu güvenlik açığından başarıyla yararlanan bir saldırgan TCP/ IP üzerinden hedef sunucuda veya istemcide kod yürütme becerisi kazanabiliyor. MAPP(https://www.microsoft.com/en-us/msrc/mapp) üyeleri tarafından paylaşılan kavram kanıtı(PoC) hem son derece basit hem de tamamen güvenilirdir. Adlandırma kolaylığı açısından güvenlik açığı “Bad Neighbor” olarak isimlendirildi, sebebine değinilecek olunursa zafiyetin Router Advertisement bilinen adıyla “DNS RA options” seçenekleri kullanılarak ICMPv6 protokolü içeresinde bulunuyor olmasıdır. Mevcut exploit uzaktan kod çalıştırma olasılığı ile birlikte bir Hizmet Reddine (DoS) yol açar.

Güvenlik açığı ayrıntısı MacAfee ekibi tarafından ortaya çıktı.

 

Etkilenen Sürümler:

Microsoft Window Server 2019, version 1903/1909/2004

Microsoft Windows 10 version 1709/1803/1809/1903/1909/2004

 

CVE-2020-16898 için Etki Azaltma Eylemleri

Her zaman olduğu gibi kullanıcıların sistemlerini mümkün olan en kısa sürede yama yapmalarını tavsiye edilmektedir. Bir yama uygulanana kadar Microsoft bu güvenlik açığını azaltmak için kullanılabilecek bir kılavuz yayınladı. Microsoft'un yayınladığı kılavuzu anlamaya yardımcı olmak ve IPv6 RDNSS'yi devre dışı bırakmak için atılması gereken adımları aşağıda bulabilirsiniz.

Yönetici olarak komut istemini açın

a.      Netsh int ipv6 sh int

Bu komut, karşılık gelen dizin numaralarıyla birlikte tüm ağ IPv6 arabirimlerinin bir listesini sağlayacaktır.

Örnek:






 

b.      netsh int ipv6 set int Idx number rabaseddnsconfig=disable komutunu çalıştırın. Idx numarasını, a adımında listelenen Idx numarasıyla değiştirmek gerekiyor. Bu, her arabirim için RDNSS özelliğini devre dışı bırakarak güvenlik açığını azaltmasına olanak sağlayacaktır.

 

c.       RDNSS komutunun devre dışı bırakıldığını anlamak için netsh int ipv6 sh int Idx number komutunu çalıştırın. Bu komut, için istenen ara yüz için parametreleri aşağıdaki örnekte olduğu gibi çıkacaktır.

 

Örnek:


*RA Tabanlı DNS Yapılandırması (RFC 6106) her arabirim için devre dışı bırakılmalıdır.

[1] https://github.com/advanced-threat-research/CVE-2020-16898/blob/main/ReadMe.md

[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

[3] https://unit42.paloaltonetworks.com/cve-2020-16898/

 

Semih Beki tarafından gönderildi @ Ekim 15, 2020   0 Yorum

0 Yorum:

Yorum Gönder

Kaydol: Kayıt Yorumları [Atom]

<< Ana Sayfa