TR-20-722 (Windows Server Netlogon Güvenlik Güncellemesi)

Genel Bilgi

Windows Server Netlogon için çoklu açıklıkları gideren güvenlik güncellemesi yayınlamıştır.

Etki

Netlogon protokolünde tespit edilen ve CVSS skoru 10.0 olan "Zerologon" ismiyle yayınlanan CVE-2020-1472 zafiyetini kullanan saldırganlar uzaktan Aktif Dizin (AD) üzerinde etki alanı yöneticisi yetkisi elde edebilmektedir.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM) ilgili zafiyet ile alakalı olarak,

• Tüm sistemlerde Microsoft tarafından yayınlanan Ağustos 2020 güvenlik yamalarının uygulanması,

• Sistem kayıtlarının geriye dönük incelenmesi ve zafiyetin istismar edilip edilmediğinin iz kayıtlarından (eventID 5805) tespit edilmesi,

• Aktif Dizin görevindeki sunucuların internet üzerinden erişimlerinin kısıtlanması,

tedbirlerinin incelenmesini ve uygulanmasını tavsiye eder.

Kaynaklar

http://redmondmag.1105cms01.com/Articles/List/News.aspx

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

https://twitter.com/wdormann/status/1305564045282598912

https://redmondmag.com/articles/2020/08/28/azure-sentinel-solution-for-netlogon.aspx

https://redmondmag.1105cms01.com/articles/2020/09/14/windows-server-netlogon-exploit-code.aspx

https://media.cert.europa.eu/static/SecurityAdvisories/2020/CERT-EU-SA2020-046.pdf

2020-09-15