Windows Vista/7 SMB2 Güvenlik Açığı

7 Eylülde Laurent Gaffie tarafından raporlanan açığa göre Windows Vista ve Windows 7 işletim sistemleri ciddi bir güvenlik riski altında. Saldıgan bu açığı kullanarak Windows Vista veya Windows 7 çalıştıran sistemleri uzaktan çökertebiliyor. Windows’un bu sürümlerinde kullanılan SMB2 (windows çalışma guruplarının dosya ve yazıcı paylaşımı için kullandığı protokolün 2. sürümü) hizmeti özel olarak oluşturulmuş bir veri paketi ile etkilenerek Windows’un mavi ekrana düşmesine neden oluyor. Güvenlik açığı için henuz uzaktan kod çalıştıran bir exploit yazılmış değil fakat Segmentation Fault hatalarının kolaylıkla exploit edilebildiği de biliniyor.

SMB 2.0 oturumunun başında istemcinin sunucuya gönderdiği paket başlığında yer alan “Process ID High” isimli alana ampersant “&” karakteri koyulduğunda PAGE_FAULT_IN_NONPAGED_AREA hatası oluşuyor ve mavi ekran beliriyor.

Hatanın oluşma nedeni, &’nin binary karşılığından ziyade adres operatörü olarak yorumlanmasından kaynaklanıyor olabilir. Böyle ise oldukça vahim bir durum. Bu durumda SMB2.0 implementasyonunda dışarıdan gelen verilerin ele alınış şeklinde hatalar olduğundan bahsedebiliriz. Aslında Mikrsosoft’un böylesi bir programlama hatası yapması pek olası değil fakat ekonomik kriz nedeniyle implementasyonun çinli programcılara yazdırılmış olabileceğini düşünüyorum.

Açığı test etmek için Windows güvenlik duvarını kapatın ve dosya paylaşımını aktive edin. Açık çoktan Metasploit’e aktarılmış. Açığın C++ kodu da aşağıdaki gibi.

Günvelik açığı MS’a bildirilmiş. Henüz bir yama yayınlanmadı. Önlem olarak Windows 7 ve Vista’larda dosya ve yazıcı paylaşımı özelliğinin devre dışı bırakılması öneriliyor.

Kaynak: http://g-laurent.blogspot.com/

Yazar: Özgür Koca

Yazar - Tankado.com

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.