CVE-2020-1350 · Bilgilendirme

Microsoft Windows DNS Server Remote Code Execution Vulnerability

CVE-2020-1350 (SIGRed) ile Windows DNS Server'larda uzaktan kod yürütme zafiyeti. Güvenliğinizi riske atmayın!

Üretici
Microsoft
Ürün
Windows
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
9 dk okuma

CVE-2020-1350: Microsoft Windows DNS Server Remote Code Execution Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-1350, Microsoft Windows DNS Sunucularında bulunan kritik bir güvenlik açığıdır. Bu zafiyet, 2020 yılının Temmuz ayında, özellikle Microsoft'un 14 Temmuz 2020'de yayımladığı güvenlik güncellemeleri ile birlikte duyurulmuştur. Bilgisayar korsanları (hackerlar), bu zafiyeti kullanarak uzaktan kod çalıştırma (RCE - Remote Code Execution) yeteneğine sahip olabilmektedir. Açıklama gereği, bu zafiyet “SIGRed” adıyla da bilinir. RCE, bir saldırganın hedef sistem üzerinde istediği kodu çalıştırmasını sağlayan kritik bir güvenlik açığı türüdür, bu nedenle CVE-2020-1350, her sistem yöneticisi ve siber güvenlik uzmanı için büyük bir tehdit oluşturur.

Bu zafiyet, Microsoft Windows DNS Sunucularının istekleri düzgün bir şekilde işleyememesinden kaynaklanmaktadır. Saldırganlar, belirli istekleri manipüle ederek DNS sunucusuna gönderdiği zaman, bu sunucunun beklenmedik şekilde yanıt vermesine neden olabilir. Sonuç olarak, Local System Account (Yerel Sistem Hesabı) bağlamında çalıştırılan kötü niyetli kod, saldırganın kontrolü altındaki sisteme yayılabilir. Özellikle büyük veri merkezlerinde kullanılan DNS sunucuları gibi kritik altyapılarda bu durum, ciddi sonuçlar doğurabilir.

Zafiyetten etkilenen sektörel alanlar oldukça fazladır. Finans, sağlık, kamu sektörü gibi pek çok alanda çalışan organizasyonlar, bu zafiyetin taşıdığı risk bakımından karşı karşıyadır. Örneğin, bankacılık sistemleri düşünülürse, bir siber saldırgan DNS sunucularını manipüle ederek, kullanıcıların sahte web sitelerine yönlendirilmesine neden olabilir. Bu tür saldırılar, veri hırsızlığı ve dolandırıcılık gibi sonuçlar doğurabilir.

Bir diğer örnek senaryo, sağlık sektöründe geçerlidir. Bir hastane sistemi, DNS sunucusu üzerinde bu tür saldırılara maruz kalırsa, kritik sağlık bilgilerine erişim için gereken sistemlerin nasıl hedef alındığına dair ciddi sorunlar yaşanabilir. Böyle bir durum, sonuçta hasta bakım hizmetlerinin kesintiye uğramasına neden olabilir. Kimlik avı (phishing) gibi dolandırıcılık yöntemleri de bu tür DNS manipülasyonlarıyla daha etkili hale gelebilir.

CVE-2020-1350 açıklarında hata, Microsoft DNS sunucusunun istekleri işlemesi sırasında meydana gelen hafıza yönetimi eksikliklerinden kaynaklanmaktadır. Bu durum, bir Buffer Overflow (Tampon Aşımı) zafiyetine yol açarak, saldırganların bellek alanını aşarak hedef sistemi kontrol altına alma olanağı tanır. Yazılımdaki bu tür eksiklikler, siber güvenlik uzmanlarının dikkat etmesi gereken kritik noktalardır. Zafiyetin etkili bir şekilde istismar edilebilmesi için saldırganın, hedeflenen DNS sunucusuna özel olarak hazırlanmış istekler göndermesi gerekmektedir.

Günümüzde, CVE-2020-1350 zafiyetinin önlenmesi için güncellemeler yayınlanmış olmasına rağmen, birçok sistemin güncellenmediği ve güvenlik açıklarının kapatılmadığı gerçeği hâlâ geçerlidir. Bu nedenle, her sistem yöneticisinin düzenli olarak yazılım güncellemelerini kontrol etmesi ve güvenlik açıklarını değerlendirmesi gerekmektedir. Bunun yanında, ağda gerçekleştirilen trafik izleme ve güvenlik duvarı kurulumları ile bu tür istismarların saptanması ve önlenmesi mümkün hale gelir.

Sonuç olarak, CVE-2020-1350 zafiyeti, siber güvenlik alanında ciddi bir tehdit oluşturmaktadır. Organizasyonların, bu tür zafiyetleri tespit edebilmeleri ve önceden önlem alabilmeleri için eğitimler ve farkındalık programları düzenlemeleri büyük önem taşır. Bu zafiyetin yarattığı riskler göz önüne alındığında, etkili bir siber güvenlik stratejisinin geliştirilmesi kaçınılmazdır.

Teknik Sömürü (Exploitation) ve PoC

CVE-2020-1350, daha çok "SIGRed" olarak bilinen, Microsoft Windows DNS Sunucuları'nda yer alan kritik bir uzaktan kod yürütme (Remote Code Execution - RCE) zafiyetidir. Bu açık, saldırganların DNS sunucusuna kötü niyetli istekler göndererek Local System Account (Yerel Sistem Hesabı) bağlamında kod çalıştırmasına olanak tanımaktadır. Bu zafiyet, özellikle büyük organizasyonlar için ciddi bir tehdit oluşturmaktadır; çünkü saldırgan, bu tür bir zafiyet ile sistemin kontrolünü ele geçirebilir ve ağ üzerinde istenmeyen hareketlerde bulunabilir.

Bu bölümde, CVE-2020-1350 zafiyetinin nasıl sömürülebileceğine dair teknik bir rehber sunacağız. Ancak burada dikkat edilmesi gereken nokta, bu bilgilerin yalnızca etik siber güvenlik testlerinde kullanılabileceği ve kötüye kullanılmaması gerektiğidir.

Zafiyetin ilk aşaması, hedef DNS sunucusunun versiyonunu doğrulamaktır. Microsoft’un Windows Server 2003, 2008, 2012, 2016 ve 2019 sürümleri bu zafiyetten etkilenmektedir. Aşağıdaki Python kodu, hedef sunucunun versiyonunu kontrol etmek amacıyla kullanılabilir.

import socket

def check_dns_version(target):
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.settimeout(2)
        request = b'\x00\x00'  # DNS boş istek
        sock.sendto(request, (target, 53))
        response, _ = sock.recvfrom(512)
        print(f"Hedef: {target}, Yanıt: {response}")
    except Exception as e:
        print(f"Bir hata oluştu: {e}")

check_dns_version("hedef_ip_adresi")

Hedef sunucuya başarıyla erişimin sağlanmasının ardından, potansiyel bir DNS sorgusu ile zafiyeti tetikleyebiliriz. Aşağıdaki HTTP istek/yanıt paketi, saldırının nasıl gerçekleştirileceğine dair bir örnek teşkil etmektedir.

POST /dns-query HTTP/1.1
Host: hedef_ip_adresi
Content-Type: application/dns-message
Content-Length: <uzunluk>

// Kötü niyetli DNS sorgusu burada yer alacak

Bu isteğin başarılı olması durumunda, hedef sistem üzerinde istenmeyen kodun çalıştırılmasını sağlayacak bir komut gönderilebilir. Zafiyetin istemler boyunca tetiklenmesi için DNS sorguları belirli bir biçimde olmalı ve dikkatlice hazırlanmalıdır. Gerçekleştirilen hatalı bir DNS isteği, hedef zafiyet olup olmadığını anlamak için faydalı bir geri bildirim sağlayabilir.

Zafiyeti sömürmek için izlenecek adımlar şu şekildedir:

  1. İlk olarak, hedef Windows DNS sunucusunun versiyonunu belirleyin.
  2. Kötü niyetli DNS isteklerini hazırlayın. Bu, dolayısıyla, DNS üzerinden bir kod yürütmek için gerekli olan belirli veri formatlarını içermelidir.
  3. Oluşturduğunuz isteği hedef sunucuya gönderin ve yanıtı izleyin. Eğer yanıt kodu, beklenen şekilde ole gerçekten zafiyet üzerinde bir etki bırakmışsa, bu durumda kod yürütme fırsatını değerlendirebilirsiniz.

Özetle, CVE-2020-1350, kötü niyetli bir aktörün DNS sunucuları üzerinden sistem kaynaklarına erişim sağlamasını kolaylaştıran bir zafiyettir. Bu zafiyeti değerlendirirken, her zaman etik kurallar çerçevesinde kalmak ve elde edilen bilgileri yalnızca yasal güvenlik testleri ile sınırlı tutmak önemlidir. Saldırılar, yalnızca sistemlerin güvenliğini sağlamak için yürütülmeli ve etik hacker ilkelerine bağlı kalınmalıdır.

Forensics (Adli Bilişim) ve Log Analizi

Microsoft Windows DNS Server'da tespit edilen CVE-2020-1350 (SIGRed) zafiyeti, siber güvenlik uzmanlarının dikkatle takip etmesi gereken kritik bir güvenlik açığıdır. Bu zafiyetin, saldırganın Local System Account (Yerel Sistem Hesabı) bağlamında uzaktan kod yürütmesine (Remote Code Execution - RCE) olanak tanıması, onu son derece tehlikeli hale getiriyor. Özellikle büyük işletmeler için, bu tür bir zafiyetin tespit edilmesi ve müdahale edilmesi hayati önem taşımaktadır.

Bir siber güvenlik profesyoneli, bu tip bir saldırının gerçekleşip gerçekleşmediğini SIEM (Security Information and Event Management - Güvenlik Bilgisi ve Olay Yönetimi) sistemleri ve log dosyalarındaki verileri analiz ederek anlayabilir. İlk olarak, saldırının başladığı noktaları belirlemek için DNS sunucusu üzerindeki logların dikkatlice incelenmesi gerekir. Burada aranması gereken bazı kritik imzalar ve log öğeleri bulunmaktadır.

  1. DNS Sorgu Logları: DNS sunucusu tarafından çevrimiçi olarak tutulmuş olan sorgu loglarına bakmak önemlidir. Eğer belirli bir IP adresine yapılan sorgular aşırı düzeyde artmışsa veya alışılmadık özelliklere sahipse, bu bir saldırı olduğunun habercisi olabilir. Ayrıca sorguların içeriklerinde, beklenmeyen veya aşırı uzun veri (payload) yapılarına sahip olanlar, Buffer Overflow (Tampon Taşması) gibi diğer zafiyetlere işaret edebilir.
[DNS QUERY] 
source_ip: 10.0.0.1 
destination_ip: 192.168.1.1 
query_type: A 
query_name: long.domain.name.example.com 
timestamp: 2023-10-01T12:00:00Z

  1. Eşleşmeyen İsteğin Yanıtları: Saldırganlar, sistemin yanıtlarını manipüle edebilir. Eğer alt alan adı (subdomain) isteklerine olağandışı, tutarsız veya beklenmeyen cevaplar alınıyorsa, bu da bir güvenlik açığına işaret edebilir. Yanıt süreleri, hata oranları veya DNS kaynak kayıtlarının (resource records - RR) tutarsızlığı, saldırıların ilk işaretleri olabilir.

  2. Yetkilendirme Hataları: Loglar arasında yetkilendirme hataları ve başarısız girişimlere (Authorization Bypass - Yetki Aşımı) bakmak da önemlidir. Eğer bir kullanıcının yetkisiz bir şekilde erişim sağladığına dair kayıtlar varsa, bu durum sistemin derinliklerindeki bir zafiyetin işaretidir.

[AUTH ERROR] 
user: attacker 
action: login failed 
reason: insufficient privileges 
timestamp: 2023-10-01T12:01:00Z

  1. Sistem Olay Logları: Windows Event Log'ları, saldırganın sistemdeki hareketlerini anlamak için oldukça değerlidir. Özellikle güvenlik ve sistem loglarını ayrı ayrı incelemek, siber güvenlik uzmanlarına detaylı bilgi sağlar. Event ID’leri, özellikle belirli bir zafiyete karşı ilişkili olanları takip edilmelidir.

  2. Anormal Trafik Desenleri: Eğer ağa dışarı veya içeri doğru aşırı trafigin olduğu gözlemleniyorsa, bu bir RCE (Uzaktan Kod Yürütme) saldırısının işareti olabilir. Bu durumu tespit etmek amacıyla ağ trafiğinin her zaman izlenmesi önemlidir.

[TRAFFIC ANALYSIS] 
source_ip: 203.0.113.5 
action: suspicious outbound connection 
bytes_transferred: 50000 
timestamp: 2023-10-01T12:02:30Z

Sonuç olarak, CVE-2020-1350 zafiyetinin tespit edilmesi, hızı ve etkili izleme mekanizmaları gerektirir. Güvenlik profesyonellerinin, anahtar logları inceleyerek ve olağandışı etkinliklerle ilgili bilgilere dikkat ederek bu tür saldırıları önceden belirlemesi mümkündür. Özetle, doğru log analizi ve hızlı müdahale ile bu tür zafiyetlerin yaratabileceği felaketlerden kaçınılabilir. Sadece mevcut tehditlere dikkat etmekle kalmayıp, aynı zamanda gelecekteki olası saldırılara karşı da sistemlerinizi güncel tutarak hazırlıklı olmalısınız.

Savunma ve Sıkılaştırma (Hardening)

CVE-2020-1350, Microsoft Windows DNS (Alan Adı Sistemi) sunucularında kritik bir uzaktan kod yürütme (Remote Code Execution - RCE) zafiyeti olarak öne çıkmaktadır. Bu açığın temelinde, DNS sunucularının gelen istekleri hatalı bir biçimde ele alması yatmaktadır. Bir saldırgan, bu zafiyeti kullanarak yerel sistem hesabı (Local System Account) bağlamında uzaktan kod çalıştırarak sistem üzerinde tam yetki kazanabilir. Bu durum, özellikle büyük organizasyonlar ve kritik altyapı hizmetleri için ciddi bir tehdit oluşturmaktadır.

Bu tür bir zafiyetin gerçek dünya senaryolarında nasıl istismar edilebileceğine bir örnek vermek gerekirse, düşünelim ki bir saldırgan, hedef ağdaki DNS sunucularına zararlı bir istek gönderiyor. Bu istek, DNS sunucusunun beklenmedik bir şekilde yanıt vermesine yol açıyor ve sonuç olarak, saldırgan hedef sistem üzerinde komut çalıştırabiliyor. Hedef sistemden veri çalmanın yanı sıra, zararlı yazılımlar veya fidye yazılımları yaymak gibi birçok kötü niyetli faaliyet gerçekleştirilebilir.

Bu tür bir güvenlik açığını kapatmanın en etkili yollarından biri, sistem güncellemelerini ve yamalarını düzenli olarak uygulamaktır. Microsoft, CVE-2020-1350 zafiyetine karşı bir yamanın hızlı bir şekilde yayınlanmasını sağlamış ve kullanıcıların bu güncellemeleri uygulamasını önermiştir. Ancak güncellemeleri uygulamak tek başına yeterli değildir; sistemlerinizi sıkılaştırmak (hardening) için ek önlemler almanız da gerekmektedir.

Firewall (Güvenlik Duvarı) yapılandırmaları, DNS sunucularınızı korumak için kritik bir rol oynamaktadır. Web Uygulama Güvenlik Duvarı (WAF) kuralları, belirli istek türlerini ve kaynak IP adreslerini filtreleyerek olası saldırıları önleyebilir. Örneğin, yalnızca tanımlı IP adreslerinden DNS isteklerine izin vermek veya belirli gereksinimlere dayanarak gelen istekleri incelemek için özel kurallar oluşturmak önemlidir. Örneğin, aşağıdaki gibi bir kural seti oluşturabilirsiniz:

# Yalnızca belirli bir IP aralığından gelen istekleri kabul et
iptables -A INPUT -p udp --dport 53 -s <güvenli_IP_aralığı> -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j DROP

Ayrıca, DNS sunucularınız için sıkılaştırma önerilerine de önem vermelisiniz. Bu öneriler arasında aşağıdaki gibi önlemler bulunabilir:

  1. Gereksiz DNS servislerinin devre dışı bırakılması: Kullanılmayan veya gereksiz DNS protokollerini ve özelliklerini kapatmak, potansiyel saldırı yüzeyini azaltır.

  2. DNSSEC (Alan Adı Sistemi Güvenlik Uzantıları) kullanımı: DNS isteklerinizin güvenliğini artırmak amacıyla, DNSSEC yapılandırmasını aktif hale getirmek önemlidir. Bu, zararlı DNS yanıtlarını doğrulamanıza yardımcı olur.

  3. Erişim Kontrolü Listeleri (ACL): DNS sunucunuza kimlerin erişeceğini kesin bir şekilde belirlemek, saldırganların DNS sunucunuza ulaşmasını zorlaştırır.

  4. İzleme ve Harekete Geçme: Sunucularınızda sürekli izleme yapılması ve anormal aktivitelerin tespit edilmesi, potansiyel saldırıları daha başlangıç aşamasında bastırmanıza yardımcı olacaktır. IDS/IPS gibi sistemlerin kullanımı bu noktada fazlasıyla yararlıdır.

Sonuç olarak, CVE-2020-1350 veya benzeri zafiyetlere karşı savunmanızın temellerini oluşturmak için sadece sistem güncellemelerine güvenmek yeterli değildir. Proaktif bir yaklaşım benimseyerek firewall yapılandırmalarınızı optimize edilmeli, güvenlik duvarı kurallarınızı güçlendirmeli ve sistemlerinizi sıkılaştırmaya yönelik stratejiler geliştirmelisiniz. Unutmayın, güvenlik sürekli bir süreçtir ve mevcut tehditlere karşı sürekli olarak kendinizi yenilemelisiniz.