Microsoft’un Ocak ayının Salı Yaması sürümünde düzelttiği dokuz kritik güvenlik açığından HTTP Protokol Yığınındaki uzaktan kod yürütme hatası (CVE-2022-21907) bir serseri. Windows sunucularını ve istemcilerini (http.sys çalıştırabilen her şeyi) etkiler ve 10.0 ölçeğinde 9.8 CVSS derecesine sahiptir. Bu Teknik İpucu, SANS Teknoloji Enstitüsü Araştırma Dekanı Dr. Johannes B. Ullrich’in BT yöneticilerinin hangi sistemlerin etkilendiğini nasıl kontrol edebileceğine ilişkin görüşlerini paylaşıyor.
Güvenlik açığı, gönderenin meta veri sağlamak için bir iletiye ek alanlar eklemesine olanak tanıyan HTTP fragman desteği özelliğini hedefler. Saldırgan, paketleri işlemek için http.sys kullanarak hedef sunucuya özel hazırlanmış bir paket göndererek bu kusurdan yararlanabilir.
Ullrich, “Http.sys aracılığıyla kod çalıştırmak, eksiksiz bir sistem ihlaline yol açabilir” SANS Enstitüsü’nün güvenlik açığıyla ilgili SSS sayfası.
En endişe verici olanı, Microsoft’un kusurun kalıcı olduğunu, yani bir saldırının savunmasız bir Windows kutusundan diğerine yayılması için insan etkileşiminin gerekli olmadığı anlamına geliyor. Saldırgan bir sistemi ele geçirdiğinde, organizasyonun tüm intranetine kolayca yayılabilir. Kuruluşların etkilenen sistemleri bulmaları ve güncellemeleri mümkün olan en kısa sürede dağıtmaları önerilir.
Sistemimi Nasıl Kontrol Ederim?
Kusur, Windows 10 ve Windows 11’in yanı sıra Server 2019 ve Server 2022’yi etkiliyor. Güvenlik açığı bulunan kodun Windows Server 2019 ve Windows 10 sürüm 1809’da tanıtıldığı ancak varsayılan olarak devre dışı bırakıldığı görülüyor. Ullrich, sistemde güvenlik açığı olup olmadığını belirlemek için kayıt defteri değerlerini kontrol etmek için aşağıdaki PowerShell sorgusunu önerir:
Get-ItemProperty “HKLM:SystemCurrentControlSetServicesHTTPParameters” | Select-Object EnableTrailerSupport
Microsoft Internet Information Service (IIS), WinRM (Windows Uzaktan Yönetim) ve WSDAPI (Cihazlar için Web Hizmetleri) gibi http.sys kullanan diğer yazılımların da güvenlik açığını açığa çıkarıyor olması da mümkündür. Ullrich, http.sys’nin “IIS içindeki çekirdek HTTP motoru” olarak tanımlanabileceğini belirtiyor. Yöneticiler, http.sys kullanan tüm işlemleri listelemek için netsh komutunu kullanabilir.
netsh http show servicestate
Hemen Yama Yapmalı mıyım?
Microsoft, istismar edilebilirliği “Sömürü Daha Muhtemel” olarak derecelendirir ve bu güvenlik açığının bir an önce düzeltilmesini önerir. İşleri bağlama oturtmak gerekirse, Microsoft geçen Mayıs ayında HTTP Protokol Yığınında (CVE-2021-31166) benzer bir solucan olabilir uzaktan kod yürütme kusurunu düzelttiğinde, kavram kanıtı kodunun çevrimiçi olarak yayınlanması bir haftadan az sürdü.
Ullrich, kritik derecesine rağmen, gerçek istismarın olabileceği kadar zarar vermeyebileceği konusunda uyarıyor. “Sömürüyü azaltmak için çeşitli teknikler kullanıldığından ve serbest bırakılan PoC’ler yalnızca hizmet reddine neden olduğundan, geçmiş güvenlik açıklarından hiçbir zaman tam olarak yararlanılmadı” diyor. 2015’te IIS’de http.sys’yi etkileyen bir tamsayı taşması güvenlik açığı için “benzer bir yangın tatbikatı” vardı, ancak “hiçbir zaman bu kadar fazla olmadı.”
Ullrich, bir web uygulaması güvenlik duvarının fragmanlarla (kötü amaçlı kodun gizleneceği yer) istekleri engelleyebileceğini belirtiyor. Bu, kuruluşlara dağıtım planını anlamaları için biraz zaman kazandırabilir. Şu anda, BT ekipleri, maruz kalma durumlarını değerlendirmek ve bulunan sorunları azaltmak için herhangi bir PoC veya açıktan yararlanmanın yayınlanmasından önce bir fırsat penceresine sahiptir.