Bu güvenlik açığı : Sunucu hizmetinin, özel hazırlanmış “RPC” isteklerini doğru şekilde işleyememesi nedeniyle oluşmaktadır. Bu zafiyeti sömürerek “Uzaktan Kod Yürütme” yapılabilmektedir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etkilenen sistemin tüm denetimini uzaktan ele geçirebilir. Zafiyetten yararlanma işlemi başarısız olursa, bu durum aynı zamanda “Svchost.exe” dosyasınında çökmesine sebep verebilmektedir. Svchost.exe çökerse, Sunucu hizmeti zararlı şekilde etkilenebilir.
RPC(Remote Procedure Call) : Uzaktan Yordam Çağrısı demektir. “Server ve Client arasındaki iletişim için dizayn edilmiştir”. Kullandığınız herhangi bir program Sunucu-İstemci iletişimine ihtiyaç duyuyor ise RPC servisini kullanabilir. Kısaca bir sunucunun, bir client’ta kod çalıştırmasına yarayan protokoldür.
Bu zafiyete aynı zamanda “Netapi” zafiyeti de denilmektedir. “Netapi.DLL” bir SMB modülüdür. Yerel ağda dosya paylaşımını sağlayan bir sistem kütüphanesidir. Bu piyasaya çıkan Netapi zararlısı, hedef sistemdeki “Microsoft-ds” servisi kanalıyla ulaşılan netapi.dll’in dizin yolu genelleştirme kodunda ki bir “Parsing” (ayrıştırma) hatasından yararlanır ve bu yolla hedef sistemde “komut çalıştırma” imkanı sunar.
Şimdi şu zafiyeti bir de biz sömürelim!
Basit bir NMAP taraması ile hedef sistemde zafiyetin olup olmadığını kontrol etmek için şu komutu kullanabiliriz ;
| nmap –script vuln-smb-ms08-067.nse -p 445 IPAdresi |
Eğer tarattığımız sistemde zafiyet var ise dönen cevabın ekran görüntüsü şu şekilde olacaktır ;
Sonrasında Msfconsole üzerinde “exploit/windows/smb/ms08_067_netapi” modülünü kullanarak bu zafiyeti sömürebilir kurbanın sisteminde kod satırına erişebiliriz. Bkz;
Bu zafiyetten hangi sistemlerin etkilendiğini soracak olursak ;
Bu güvenlik güncelleştirmesi Microsoft Windows 2000, Windows XP ve Windows Server 2003’ün tüm desteklenen sürümleri için Kritik ve Windows Vista, Windows Server 2008 ve Windows 7 Beta’nın tüm desteklenen sürümleri için Önemli olarak derecelendirilmiştir.
https://docs.microsoft.com/tr-tr/security-updates/securitybulletins/2008/ms08-067
Bu zafiyete önlem olarak ilk patch 2008 yılında atılmış olsada, farklı sebeplerden dolayı hala eski sunucu işletim sistemleri kullanan kurumlar bulunuyor. Kurumlar bu sunucuların internete erişimini kesip, sunucu üzerinde “Sistem Sıkılaştırma” işlemlerini yaptıktan sonra Networklerinde bu gibi sunucuları barındırmaya devam ediyorlar. Yani bir pentest sırasında, ağa dahil olduktan sonra bu tür eski bir sunucuyla karşılaşabilir ve bu zafiyetin var olup olmadığını kontrol edebilirsiniz.
RPC(Remote Procedure Call) : Uzaktan Yordam Çağrısı demektir. “Server ve Client arasındaki iletişim için dizayn edilmiştir”. Kullandığınız herhangi bir program Sunucu-İstemci iletişimine ihtiyaç duyuyor ise RPC servisini kullanabilir. Kısaca bir sunucunun, bir client’ta kod çalıştırmasına yarayan protokoldür.
Bu zafiyete aynı zamanda “Netapi” zafiyeti de denilmektedir. “Netapi.DLL” bir SMB modülüdür. Yerel ağda dosya paylaşımını sağlayan bir sistem kütüphanesidir. Bu piyasaya çıkan Netapi zararlısı, hedef sistemdeki “Microsoft-ds” servisi kanalıyla ulaşılan netapi.dll’in dizin yolu genelleştirme kodunda ki bir “Parsing” (ayrıştırma) hatasından yararlanır ve bu yolla hedef sistemde “komut çalıştırma” imkanı sunar.
Şimdi şu zafiyeti bir de biz sömürelim!
Basit bir NMAP taraması ile hedef sistemde zafiyetin olup olmadığını kontrol etmek için şu komutu kullanabiliriz ;
| nmap –script vuln-smb-ms08-067.nse -p 445 IPAdresi |
Eğer tarattığımız sistemde zafiyet var ise dönen cevabın ekran görüntüsü şu şekilde olacaktır ;
Sonrasında Msfconsole üzerinde “exploit/windows/smb/ms08_067_netapi” modülünü kullanarak bu zafiyeti sömürebilir kurbanın sisteminde kod satırına erişebiliriz. Bkz;
Bu zafiyetten hangi sistemlerin etkilendiğini soracak olursak ;
Bu güvenlik güncelleştirmesi Microsoft Windows 2000, Windows XP ve Windows Server 2003’ün tüm desteklenen sürümleri için Kritik ve Windows Vista, Windows Server 2008 ve Windows 7 Beta’nın tüm desteklenen sürümleri için Önemli olarak derecelendirilmiştir.
https://docs.microsoft.com/tr-tr/security-updates/securitybulletins/2008/ms08-067
Bu zafiyete önlem olarak ilk patch 2008 yılında atılmış olsada, farklı sebeplerden dolayı hala eski sunucu işletim sistemleri kullanan kurumlar bulunuyor. Kurumlar bu sunucuların internete erişimini kesip, sunucu üzerinde “Sistem Sıkılaştırma” işlemlerini yaptıktan sonra Networklerinde bu gibi sunucuları barındırmaya devam ediyorlar. Yani bir pentest sırasında, ağa dahil olduktan sonra bu tür eski bir sunucuyla karşılaşabilir ve bu zafiyetin var olup olmadığını kontrol edebilirsiniz.
