CyberFlow Logo CyberFlow BLOG
Smb Pentest

Siber Güvenlikte SMB Compression Abuse ve SMBGhost: Derinlemesine İnceleme

✍️ Ahmet BİRKAN 📂 Smb Pentest

SMB Compression Abuse ve SMBGhost vuln. hakkında detaylı bilgi almak için okuyun. Bu blog, siber güvenlikte kritik zafiyetleri ele alıyor.

Siber Güvenlikte SMB Compression Abuse ve SMBGhost: Derinlemesine İnceleme

Bu makalede, SMB Compression Abuse ve SMBGhost zafiyetlerini derinlemesine inceliyoruz. Siber güvenlik alanında kritik riskler ve savunma yöntemlerine değiniyoruz.

Giriş ve Konumlandırma

Siber güvenlik alanında, ağ protokollerinin güvenliği, bilgi sistemlerinin bütünlüğü ve gizliliği için kritik öneme sahiptir. Bu bağlamda, Server Message Block (SMB) protokolü de siber güvenlik uzmanları ve aygıt yöneticileri için sıkça inceleme konusu olan bir alan olmuştur. Özellikle SMBv3.1.1 sürümünde bulunan sıkıştırma özelliklerinin suistimali, yani "SMB Compression Abuse" ve buna bağlı olarak ortaya çıkan "SMBGhost" zafiyeti, son dönemlerde düzenlenen siber saldırılarda dikkat çeker hale gelmiştir. Bu yazıda, ilgili mekanizmaların teknik detaylarına ve potansiyel tehlikelerine odaklanacağız.

SMB Compression Abuse ve SMBGhost Nedir?

SMB Compression Abuse, SMB protokolü üzerinden aktarılan verinin sıkıştırılması sırasında ortaya çıkabilen bir zaafiyet türüdür. Protokol, verimlilik için belirli algoritmalar kullanarak veri sıkıştırmakta ve bu sırada, aktarım esnasında bellek taşması (integer overflow) gibi hatalara yol açmaktadır. Bu tür zafiyetler, saldırganlar tarafından kötüye kullanılabilir ve yani uzaktan kod çalıştırma (Remote Code Execution - RCE) imkanı sunabilir. SMBGhost, bu spesifik durumda, SMBv3 protokolünün bir özelliği olarak ön plana çıkmakta ve bilinçli bir şekilde exploit'lenebilir.

Söz konusu zafiyet, sadece bir sistemin etkilenmesiyle kalmayıp, kurumsal ağların bütünlüğüne tehdit oluşturma potansiyeline sahiptir. SMBGhost, zafiyetin tetiklenmesiyle birlikte saldırgana işletim sistemindeki en yüksek yetkileri sağlar; bu durum, saldırganların ağ üzerinde kritik verilere erişim elde etmesine olanak tanır. Ayrıca, SMB aktivite izleme ve sistem yöneticileri için de ciddi tehlikeleri beraberinde getirmektedir.

Neden Önemlidir?

Günümüzde siber saldırılar, ağ güvenliği için yaygın bir tehdit oluşturmaktadır. BT yöneticileri ve siber güvenlik uzmanları, kuruluşların bilgi sistemlerinin güvenliğini sağlamak için sürekli bir savunma mekanizması geliştirmelidir. SMB Compression Abuse ve SMBGhost zafiyeti, daha önceki saldırıları analiz eden uzmanlar için önemli dersler içermektedir. Bu tür zafiyetlerin belirlenmesi ve kötüye kullanılmadan önlenmesi, siber güvenlik stratejilerinin temelini oluşturmaktadır.

Siber güvenlik, penetrasyon testi (pentesting) gibi uygulamalar ile güvenlik açıklarının tespit edilip, sistemlerin güçlendirilmesi üzerine inşa edilir. SMBGhost zafiyeti gibi kritik zafiyetlerin varlığı, siber güvenlik uzmanlarının bu tarz tehditlere yönelik daha fazla eğitim ve geliştirme yapmalarını zorunlu kılmaktadır.

Teknik Bağlam ve Önlemler

Siber güvenlikte, doğru bilgilerin elde edilmesi ve bu bilgilerin nasıl kullanılacağı konusundaki farkındalık, tüm sistem mimarisinin korunmasında belirleyici bir faktördür. SMB Compression Abuse testleri, sistemin SMBv3.1.1 protokolünün hangi özellikleri desteklediğini belirlemek için başlamaktadır. Bu süreçte, kurulacak bir tarayıcıya ile sunucunun sıkıştırma desteğine dair yanıt verip vermediği kontrol edilmelidir.

# Örnek: SMBGhost tarayıcısının çalıştırılması
python3 smbghost_scanner.py target_ip

Kurumsal ağlarda güvenliğin sağlanması için kullanılacak bir diğer yol, sıkıştırma özelliğini devre dışı bırakmaktır. Eğer yama ya da güncelleme uygulaması mümkün değilse, aşağıdaki PowerShell komutu ile sıkıştırmanın kapatılması önerilmektedir.

# Örnek: Sıkıştırmayı devre dışı bırakma komutu
Set-ItemProperty -Path HKLM:\...\DisableCompression -Value 1

Sonuç olarak, SMB Compression Abuse ve SMBGhost zafiyeti, siber güvenlik ortamında dikkat edilmesi gereken önemli konulardır. Bu bağlamda, uzmanların hem teorik bilgilerini hem de pratik uygulama becerilerini geliştirmeleri kritik öneme sahiptir. Bilgi güvenliği kategorisinde derinlemesine bilgi sahibi olmak, gelecekte olası tehditlerden korunmak için gereklidir.

Teknik Analiz ve Uygulama

Adım 1: SMBv3.1.1 ve Sıkıştırma Keşfi

Siber güvenlikte sıkıştırma suistimali, özellikle SMB (Server Message Block) protokolünün 3.1.1 sürümünde büyük bir tehdit olarak ortaya çıkmaktadır. İlk adım, hedef sistemin SMBv3.1.1 protokolünü destekleyip desteklemediğini ve sıkıştırma özelliğinin aktif olup olmadığını belirlemektir. Bunun için nmap aracı kullanılabilir:

nmap -p 445 --script smb-protocols target_ip

Bu komut, hedef sistemin SMB protokolü desteğini analiz ederken, sıkıştırma özelliklerini de sorgular.

Adım 2: Teknik Bileşenler

Sıkıştırma mekanizması, ağ üzerinden gelen veriyi işlerken çeşitli sürücüler ve algoritmalar kullanır. Özellikle Srv2.sys, SMBv3 trafiğini ve sıkıştırma mantığını yöneten çekirdek (kernel) sürücüsüdür. Sıkıştırma işlemlerinde kullanılan başlıca algoritmalar arasında LZNT1 ve XPRESS yer almaktadır.

Adım 3: Tanım: SMBGhost

SMBGhost, SMBv3 sürücüsü üzerinden tetiklendiği için saldırgana işletim sistemindeki en mutlak yetkiyi sağlar. Bu zafiyet, tam sayı taşması (integer overflow) nedeniyle ortaya çıkar ve sistemin kontrolünü saldırgana verir. CVE-2020-0796 numaralı bu kritik zafiyetin tanımsal olarak dikkatlice incelenmesi gerekmektedir.

Adım 4: Güvenli Tarama (Scanner)

Sistemi çökertmeden zafiyetin varlığını doğrulamak için, sunucunun sıkıştırma desteğine "bozuk" bir yanıt verip vermediğini denetleyen scriptler kullanılır. Python tabanlı bir SMBGhost tarayıcısı çalıştırmak için aşağıdaki komut kullanılabilir:

python3 smbghost_scanner.py target_ip

Bu tür tarayıcılar, sistemin durumu hakkında bilgi sağlarken, olası suistimalleri de erken aşamada tespit etmeye yardımcı olur.

Adım 5: Zafiyet Mekanizması

SMBGhost zafiyetinin güncellenmesi gereken bir diğer önemli nokta ise, sıkıştırılmış bir paketin açılması sırasında oluşan bir tam sayı taşmasıdır. Bu durum, bellek üzerinde yanlış alan ayrılmasına sebep olarak, "Kernel Pool Overflow" gibi sorunlara yol açabilir. Bu tür hatalı durumların ileride sistemin çökmesine neden olabileceği unutulmamalıdır.

Aşağıda, bu tür zafiyetlerin izlerini bırakacak olan bazı trafik işaretleri sıralanmıştır:

  • Protocol ID: 0xFC: SMB2 paketinin sıkıştırılmış olduğunu belirten imza.
  • OriginalSize > Max: Açıldığında bellek taşmasına neden olacak devasa boyut bilgisi.

Adım 6: Yetki Seviyesi: Kernel

Başarılı bir RCE (Remote Code Execution) sömürüsü için işletim sisteminin bellek adreslerini rastgeleleştirme savunmasını aşmak gerekir. Eğer zafiyet başarılı bir şekilde exploit edilirse, elde edilen yetki "yüzük 0" (ring 0) seviyesinde olacaktır ki bu da sistemin en yüksek yetkisini ifade eder.

Adım 7: Metasploit ile RCE Denemesi

Sistem üzerinde uzaktan kod çalıştırmak için Metasploit framework’ünü kullanarak ilgili exploit modülünü yapılandırmak gereklidir. Aşağıdaki komut, Metasploit üzerinde SMBGhost modülünü seçerek kullanılabilir:

use exploit/windows/smb/cve_2020_0796_smbghost

Bu aşama, sistemin güvenliğini test etmek ve zafiyetin etkilerini daha iyi anlamak için kritik öneme sahiptir.

Adım 8: Tespit ve İzleme (Wireshark)

Sıkıştırma suistimali, ağ trafiğinde benzersiz izler bırakır. Tespit ve izleme işlemleri için Wireshark gibi ağ analiz araçları kullanılabilir. Bu araçlar, ağ trafiğini izleyerek potansiyel tehditleri ve anomaliyi belirlemede önemli rol oynar.

Adım 9: Kritik Bypass: KASLR

Bellek koruma mekanizmasının kısaltması olan KASLR (Kernel Address Space Layout Randomization), sistemin bellek düzenini rastgeleleştirerek saldırganların belleğe erişimini zorlaştırır. Başarılı bir exploit denemesi, bu mekanizmayı aşarak zararlı kodun sistem üzerinde çalışmasına zemin hazırlar.

Adım 10: Acil Müdahale: Disable Compression

Yama yapılamayan durumlarda, sistem yöneticileri sıkıştırma özelliğini bir kayıt defteri ayarıyla kapatarak riski azaltabilirler. PowerShell üzerinden sıkıştırmayı devre dışı bırakmak için kullanılacak komut şu şekildedir:

Set-ItemProperty -Path HKLM:\\... DisableCompression -Value 1

Bu komut, potansiyel bir suistimali önlemek için kritik bir adım olarak değerlendirilebilir.

Adım 11: İyileştirme ve Hardening

Sıkıştırma açıklarını kurumsal ağda kalıcı olarak kapatma stratejileri, sistemin güvenliğini artırmanın yanı sıra, uzun vadede olası saldırıları önlemek için de önemlidir. Ayrıca, host tabanlı güvenlik duvarları ve çeşitli izleme sistemleri ile ağın korunması sağlanabilir.

Adım 12: Nihai Hedef: Integrity

Verinin yetkisizce değiştirilmemesi ilkesine "Integrity" denir. Sistem yöneticileri, bu ilkeyi korumak için gereken tüm önlemleri almalı ve potansiyel zafiyetlere karşı sürekli izleme ve değerlendirme yapmalıdır.

Sonuç olarak, SMB Compression Abuse ve SMBGhost, siber güvenlik dünyasında iç içe geçmiş ve karmaşık bir yapı sunmaktadır. Bu tehditlere karşı alınacak tedbirler, hem teknik anlamda ölçümler hem de düzenli güncellemelerle desteklenmelidir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Siber güvenlik alanında, SMB Compression Abuse ve SMBGhost'la ilişkili risk değerlendirmesi, ağ sistemlerinin güvenliği için kritik bir öneme sahiptir. SMBv3.1.1 protokolünde bulunan sıkıştırma mekanizması, belirli bir yapılandırma ve kontrol eksikliği durumunda saldırganların sistem üzerinde yetki kazanmasına yol açabilen bir zafiyete dönüşebilir. Bu bağlamda, zafiyetin varlığı ve etkileri dikkatle incelenmelidir.

Zafiyet mekanizması, "integer overflow" adı verilen bir hata ile ilişkili olup, paket boyutunun yanlış hesaplanması sonucu ortaya çıkar. Bu durum, yerel sistemlerde bellek taşmalarına neden olabilir ve dolayısıyla saldırganlar, bu durumu samimi bir şekilde sömürebilir. Yapılan araştırmalar neticesinde, SMBGhost zafiyeti sayesinde sunucuların sistem kontrolü altında ele geçirmesi mümkündür. Zafiyetin tespit edilmesi, ağ sistemlerinin topolojik yapısında önemli değişikliklere yol açabilir; bir sızma durumunda, sunucuda mevcut olan verilerin güvenliği tehlikeye girebilir.

Yorumlama

SMB Compression Abuse ve SMBGhost zafiyetlerinin olumsuz etkileri, yalnızca teknik yapılandırmalarla sınırlı değildir. Ağ sistemlerinde oluşabilecek bu tür zafiyetler, verilerin yetkisiz bir şekilde erişilmesine ve değiştirilmesine yol açabilir. SMBGhost, sistemin çekirdek düzeyinde yetki kazanabildiği için, saldırganlar sistem yöneticileri ile aynı yetkilere ulaşabilir. Bu durum, kötü niyetli bir aktörün tüm teknik veriye veya sisteme hükmetmesine neden olabilir. Ayrıca, sistemin güvenliğini zayıflatarak, bağlantılı diğer sistemlerin de riskli duruma düşmesine neden olabilir.

Elde edilen bulgular ışığında, zafiyetin yanlış yapılandırmalar veya zayıf güvenlik önlemleri ile ilişkili olduğu sonucu çıkmaktadır. Bu, özellikle SMB protokolünün doğru yapılandırılmadığı veya gerekli güncellemelerin yapılmadığı durumlarda geçerlidir. Verilerin güvenliği için önemli olan "integrity" ilkesinin ihlal edilmesi, bu tür zafiyetlerin meydana gelmesi anlamına gelmektedir.

Savunma Stratejileri

Savunma önlemleri açısından, SMB Compression Abuse ve SMBGhost zafiyetlerini hesaba katarak çeşitli güvenlik önlemleri alınmalıdır. İşte önerilen teknik çözümler:

  1. Güncellemelerin Takibi: CVE-2020-0796 için sağlanan yamaların uygulanması önemlidir. Microsoft, bu zafiyet için bir güncelleme sağlamakta ve sistemlerin bu güncellemeleri alması gerekmektedir.

  2. Sıkıştırmanın Devre Dışı Bırakılması: Sıkıştırma özelliğinin devre dışı bırakılması, sistemin potansiyel bir tehlikeden korunmasına yardımcı olabilir. PowerShell kullanarak şu komut ile sıkıştırma özelliğini kapatabilirsiniz:

    Set-ItemProperty -Path HKLM:\... DisableCompression -Value 1

  3. Ağ Segmentasyonu: Ağ segmentasyonu yaparak, kötü niyetli trafiğin yayılmasını önlemek mümkündür. Port 445 erişimini yalnızca güvenilir yönetim segmentleri ile sınırlamak önemli bir önlemdir.

  4. EDR ve İzleme Mekanizmaları: EDR (Endpoint Detection and Response) sistemleri ile ağda anomalilerin takibi yapılmalıdır. Bellek enjeksiyonu ve srv2.sys üzerindeki anormal çağrılar düzenli olarak izlenmelidir.

  5. Güvenlik Tarayıcılarının Kullanımı: Ağınızda zafiyetleri tespit etmek için güvenlik tarayıcıları kullanılmalıdır. Python tabanlı SMBGhost tarayıcısı gibi araçlar, olası zayıflıkları tespit etmede faydalıdır:

    python3 smbghost_scanner.py target_ip

  6. Log Yönetimi: Tüm olay kayıtlarının (log) dikkatlice yönetilmesi, potansiyel güvenlik tehditlerinin daha kolay tespit edilmesine yardımcı olur.

Sonuç olarak, SMB Compression Abuse ve SMBGhost kapsamında yaşanmaması için bu tür durumlar dikkatle değerlendirilmelidir. Yukarıda belirtilen önlemler, potansiyel riskleri en aza indirmek ve sistemlerin güvenliğini sağlamak adına kritik önem taşımaktadır. Doğru yapılandırmalar ve sürekli izleme ile bu tür zafiyetlerin olumsuz etkileri minimize edilebilir.