Herkese merhaba,

Umarım güzel bir bayram tatili geçirmişsinizdir, çünkü yine bir tatil gününde hareketli saatler yaşıyoruz. Her ne kadar wannacry dan dolayı istemci veya sunucularımızı güncellemiş olsakta yeni çıkan bu türev için mevcut anti virüs tarafında mutlaka db güncelleme gerekmektedir.

SMB tarafındaki zafiyet temelli ilerleyen bu zararlı şu anda pek çok AV tarafından tespit edildi ancak en önemli nokta güncellemeleri çekmeniz ve dağıtmanız gerekli.

 

Özetle;

Öncelikle eğer hala yüklemediyseniz mutlaka aşağıdaki SMB zafiyet yamalarını yükleyin

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

İstemciler ve sunucular için kullandığınız anti virüs yazılımı için güncellemeler dağıtın.

Eğer kapatma imkanınız var ise SMB v1 i aşağıdaki komut yardımı ile kapatın ( Not: SMB kullanan pek çok sisteminiz olabilir, bu nedenle istemci ve sunucularda SMB v1′ i kapatmak bazı uygulamalarınızın çalışmamasına neden olabilir, bu nedenle kritik sistemler için test etmeden lütfen bu değişikliği yapmayın)

SMB için mevcut durumu aşağıdaki komut ile görebiliriz;

SMB Server için;

Windows 8 ve 2012 sonrası için

 

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

SMBv1 i kapatmak için

Set-SmbServerConfiguration -EnableSMB1Protocol $false

SMBv2 kapatmak için

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Windows 7 ve 2008 sistemler için

SMBv1 kapatmak

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

SMBv2 kapatmak için

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force

SMBv1 açmak için

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 1 -Force

SMBv2 yi açmak için

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 1 -Force

Kayıt defteri ile yapmak için

To enable or disable SMBv1 on the SMB server, configure the following registry key:

Registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB1

REG_DWORD: 0 = Disabled

REG_DWORD: 1 = Enabled

Default: 1 = Enabled

To enable or disable SMBv2 on the SMB server, configure the following registry key:

Registry subkey:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB2

REG_DWORD: 0 = Disabled

REG_DWORD: 1 = Enabled

Default: 1 = Enabled

 

Ek olarak yayılmak için psexec ve wmi kullanılmaktadır. Bunun için GPO veya AV tarafında bir application control var ise bu dosyaya erişimi yasaklayabilirsiniz

C:\Windows\perfc.da

Ek olarak yayılmasını engellemek için ortak şifre kullanımı var ise hızlıca yetkili şifreleri değiştirin.

Umarım sorunsuz bir hafta geçirirsiniz.

Published On: 28 Haziran 2017 / Categories: Güvenlik / 2,3 min read /

Bilgiyi Paylaşın!

Related Posts

WEF Küresel Siber Güvenlik Görünümü 2025 Raporu
WEF Küresel Siber Güvenlik Görünümü 2025 Raporu

WEF Küresel Siber Güvenlik Görünümü 2025 Raporu

14 Ocak 2025
F5, Bulut Sistemleri Güvenlik Startup’ı Volterra’yı satın alıyor
F5, Bulut Sistemleri Güvenlik Startup’ı Volterra’yı satın alıyor

F5, Bulut Sistemleri Güvenlik Startup’ı Volterra’yı satın alıyor

20 Ocak 2021
TLS 1.1 Transport Layer Security Neden Kaldırmalıyız?
TLS 1.1 Transport Layer Security Neden Kaldırmalıyız?

TLS 1.1 Transport Layer Security Neden Kaldırmalıyız?

24 Ekim 2020
This certificate cannot be verified up to a trusted certification authority
This certificate cannot be verified up to a trusted certification authority

This certificate cannot be verified up to a trusted certification authority

17 Ekim 2020