Yazar: Övgü Kaya
MS17-010, Microsoft tarafından Mart 2017’de yayınlanan bir güvenlik açığıdır. Bu güvenlik açığı, Windows işletim sistemlerinde SMB (Server Message Block) protokolünün işlendiği bölümün bir eksikliğinden kaynaklanır ve etkilenen sistemlerde kötü amaçlı kişi tarafından kullanılarak, sistemlerin yetkisiz erişimine ve kontrolüne olanak sağlar.
SMB, ağdaki cihazların ve bilgisayarların dosya ve yazıcı paylaşımı yapmalarını sağlayan bir ağ protokolüdür. MS17-010 zafiyeti, SMB protokolünde bulunan bir dizi güvenlik açığından kaynaklanmaktadır ve bu açıkları kötü niyetli kişiler, WannaCry fidye yazılımı gibi zararlı saldırılar yapmak için kullanabilirler.
MS17-010 açığını istismar etmek için, bir kötü amaçlı kişi öncelikle etkilenen bir sisteme bir “hedef paket” gönderir. Bu paket, sistemde bir zayıflık tespit eder ve bir “çalışma kodu” yükler. Çalışma kodu, sistemde bir zafiyet yaratarak, bir kötü amaçlı kişinin yetkisiz erişimine ve kontrolüne olanak sağlar.
MS17-010 açığının istismarı, çeşitli araçlar ve yöntemlerle yapılabilir. Örneğin, Metasploit adlı bir açık kaynak kodlu güvenlik test aracı, MS17-010 açığını istismar etmek için kullanılabilecek çeşitli betikler içerir. Bu betikler, bir kötü amaçlı kişinin kullanımına sunulmuştur ve kullanıcıların, bu açığı keşfetme ve istismar etme yeteneklerini geliştirme amacıyla kullanılmalıdır. Bu betiklerin yanlış kullanımı, yasal olmayan veya yasa dışı faaliyetlerde bulunulmasına neden olabilir.
Bu tür güvenlik açıklarına karşı korunmak için kullanıcıların işletim sistemlerini güncellemesi ve yamaları düzenli olarak yüklemesi önemlidir. Ayrıca, güvenlik yazılımı kullanmak ve ağ trafiğini izlemek de ek önlemler arasında yer alır.
- Nmap ile hedef makine üzerinde bir script yardımı ile zafiyet taraması gerçekleştireceğiz. Nmap sorgumuzun şu şekilde olması gerekir;
nmap –script vuln <HedefIP>
- Ss üzerinde erişebileceğimiz portların bir listesini alıyoruz. Görüldüğü gibi vulnerability alanında ms17-010 isminde bir zafiyet olduğunu anlayabiliriz.
- Zafiyetimizi kolayca tespit ettik. Bu zafiyeti ‘metasploit framewok’ içerisindeki exploit ile sömürebiliriz. Öncelikle metasploit framework’ü ‘msfconsole’ komutu ile açıyoruz.
- Zafiyetimizi ‘search’ komutu ile aratıyoruz. Sorgumuz; “search ms17-010”
- Çıkan sonuçların içerisinde “exploit/windows/smb/ms17_010_eternalblue” sonucunu solunda yazan değere göre ’use X’ veya ‘use exploit/windows/smb/ms17_010_eternalblue’ şeklinde kullanmalıyız.
- Gerekli konfigürasyon ayarlarını ‘options’ diyerek inceleyip ayarlarımızı ‘set’ komutu ile yapılandırıyoruz.
- Exploit veya run komutu ile hedef sisteme erişim sağlıyoruz.
- Meterpreter kod satırına inmiş olduk. Buradan sonra yapacağımız işlemler sizlere kalıyor. “sysinfo” komutu ile sistem bilgilerini öğrenebilir, “shell” komutu ile CMD satırına inebilir, “screenshot” komutu ile ekran görüntüsünü alabiliriz.
MS 17-010 Zafiyetinden Nasıl Korunuruz?
- Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017’de yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir. (https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)
- İnternete hizmet veren sistemlerinizdeki 445/TCP portunun kapatılması gerekmektedir.
- Tüm ağ noktalarında güvenlik çözümlerinin aktif olduğundan emin olun.
- Davranışsal proaktif bir tespit bileşeni olan ve güncel imza veritabanına sahip güvenlik yazılımı kullanın. Böylece bir virüs taraması gerçekleştirin.
- İnternete açık sunucularınızda MS17-010 zafiyetinin olup olmadığını http://ms17-10.com üzerinden de online olarak ücretsiz bir şekilde test edebilirsiniz.
MS17-010 Zafiyetinden Etkilenen Sürümler
- Unify OpenStage Xpert 6010p 5R1
- Unify OpenStage Xpert 6010p 5
- Microsoft Windows Vista x64 Edition SP2
- Microsoft Windows Vista SP2
- Microsoft Windows Server 2012 R2 SP0
- Microsoft Windows Server 2012 SP0
- Microsoft Windows Server 2008 R2 for x64-based Systems SP1
- Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
- Microsoft Windows Server 2008 for x64-based Systems SP2
- Microsoft Windows Server 2008 for Itanium-based Systems SP2
- Microsoft Windows Server 2008 for 32-bit Systems SP2
- Microsoft Windows RT 8.1
- Microsoft Windows 8.1 for x64-based Systems SP0
- Microsoft Windows 8.1 for 32-bit Systems SP0
- Microsoft Windows 7 for x64-based Systems SP1
- Microsoft Windows 7 for 32-bit Systems SP1
- Microsoft Windows 10 Version 1607 for x64-based Systems SP0
- Microsoft Windows 10 Version 1607 for 32-bit Systems SP0
- Microsoft Windows 10 version 1511 for x64-based Systems SP0
- Microsoft Windows 10 version 1511 for 32-bit Systems SP0
- Microsoft Windows 10 for x64-based Systems SP0
- Microsoft Windows 10 for 32-bit Systems SP0
MS17-010 zafiyeti ile ilgili yayınlanan CVE listesi aşağıdaki gibi sıralanabilir:
- CVE-2017-0143
- CVE-2017-0144
- CVE-2017-0145
- CVE-2017-0146
- CVE-2017-0147
- CVE-2017-0148
https://tr.wikipedia.org/wiki/ .
https://tr.wikipedia.org/wiki/ .
https://tr.wikipedia.org/wiki/ .
https://github.com/nixawk/labs/blob/master/MS17_010/smb_exploit.py
https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse
