Windows

Windows Kullanan Müşterilerimizin Dikkatine – CVE-2020-16898 TCP/IP Uzaktan Komut Çalıştırma

CVE-2020-16898 | Windows TCP/IP Remote Code Execution Vulnerability

Windows TCP / IP yığını ICMPv6 Yönlendirici Bildirim paketlerini düzgün işlemediğinde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sunucuda veya istemcide kod yürütme becerisi kazanabilir.

Bu güvenlik açığından yararlanmak için, bir saldırganın özel hazırlanmış ICMPv6 Yönlendirici Bildiri paketlerini uzak bir Windows bilgisayarına göndermesi gerekir.

Güncelleştirme, Windows TCP / IP yığınının ICMPv6 Yönlendirici Bildiri paketlerini işleme şeklini düzelterek bu güvenlik açığını giderir.

Yapılması gerekenler, mümkün mertebe günlük olarak windows güncellemelerini takip etmek ve güncellemek.

Çözümler

Saldırganların güvenlik açığından yararlanmasını önlemek için ICMPv6 RDNSS’yi aşağıdaki PowerShell komutuyla devre dışı bırakabilirsiniz. Bu geçici çözüm yalnızca Windows 1709 ve sonraki sürümler için kullanılabilir. Daha fazla bilgi için Windows Server 1709’daki yeniliklere bakın .

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

Not: Değişikliği yaptıktan sonra yeniden başlatma gerekmez.

Geçici Çözümün Etkisi

Geçici çözüm, RA tabanlı DNS yapılandırmasını devre dışı bırakır. Hiçbir DHCPv6 altyapısının bulunmadığı veya bazı ana makinelerin DHCPv6 istemcisinin olmadığı IPv6 ana bilgisayar adresinin otomatik olarak IPv6 durumsuz adres otomatik yapılandırması aracılığıyla yapılandırıldığı ağlarda bir alternatiftir. Windows hala DHCPv6’yı desteklemektedir ve 6106 tabanlı yapılandırmaya göre önceliklidir.

Geçici çözümü uygulamadan önce, müşterilerin ağ altyapılarının RA tabanlı DNS yapılandırmasına bağlı olmadığını doğrulamak için BT yöneticilerine danışmaları gerekir. Daha fazla ayrıntı için RFC 8106’ya bakın .

Geçici çözüm nasıl geri alınır

Aşağıdaki PowerShell ile geçici çözümü devre dışı bırakabilirsiniz:

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Close