Bir istemci ve sunucu RDP ve WinRM bağlantı protokollerini doğruladığında, ortadaki bir adam saldırgan kurumsal ağları tehlikeye atmak için uzaktan komut çalıştırabilir. “Yeterli ayrıcalıklara sahip bir kullanıcıdan bir oturumu çalmış olan bir saldırgan, yerel yönetici ayrıcalıklarıyla farklı komutlar çalıştırabilir. Bu, özellikle Uzaktan Denetim Çağrısı’nın (DCE / RPC) çoğunun varsayılan olarak etkinleştirildiği etki alanı denetleyicileri durumunda kritik öneme sahiptir” diyor.
Yaron Zinar, Preempt için öncü güvenlik araştırmacısı. “Bu, işletmeleri, kritik sunucular veya alan denetleyicileri üzerinde yan hareket ve enfeksiyon dahil olmak üzere saldırganların çeşitli tehditlerine karşı savunmasız bırakabilir.” RDP, uzak oturum açmaları gerçekleştirmek için en popüler uygulama olduğundan ve neredeyse tüm kurumsal müşteriler RDP kullanıyor olduğundan, çoğu ağ bu güvenlik sorununa karşı hassastır.
[youtube https://www.youtube.com/watch?v=VywB2_o9Tsk&w=560&h=315]
Preempt Araştırmacılar, geçen yıl Ağustos ayında Microsoft’a daha önce bilinmeyen bu uzaktan kod yürütme güvenlik açığını keşfettiler ve bildirdiler, ancak teknoloji devi, bugün Patch’in Salı Salıverilme sürümünün bir parçası olarak bugünkü protokol için bir düzeltme yayınladı. Bu, neredeyse 7 aylık bir raporlamadan sonra gerçekleşti. Kendinizi ve kuruluşlarınızı CredSSP istismarına karşı savunmak için, kullanıcıların iş istasyonlarını ve sunucularını Microsoft’un mevcut güncellemelerini kullanarak yamalamaları önerilir.
Araştırmacılar ayrıca, bu saldırıyı önlemek için tek başına düzeltme yapılmasının yeterli olmadığını belirtmesine rağmen, BT profesyonellerinin de yama uygulamak ve korunmak için bazı yapılandırmalar yapmaları gerekiyor.
RDP ve DCE / RPC de dahil olmak üzere ilgili uygulama limanlarının engellenmesi de saldırıyı engelleyecekti, ancak araştırmacılar bu saldırının farklı protokoller kullanılarak farklı şekillerde uygulanabileceğini söylüyorlar.
Bu nedenle, ağınızı daha iyi korumak için, imtiyazlı hesabın kullanımını mümkün olduğunca azaltmak ve bunun yerine, uygulanabilir olduğunda ayrıcalıklı olmayan hesapları kullanmak iyi bir fikirdir. Mart 2018 Salı Salı Salı Günü Microsoft, Microsoft IE ve Edge tarayıcı, Windows işletim sistemi, Microsoft Office, PowerShell, Core ChakraCore ve Adobe Flash player gibi diğer ürünleri için de güvenlik yamaları yayınladı.