Windows Server 2012 R2 Sunuculardaki Güncel Tehlike (Mart 2020 – SMBv3 Açığı)
Bu ara tüm dünya Kovid-19 ile uğraşırken aşağıdaki patch ve aksiyon gözünüzden kaçmış olabilir, Aman Dikkat Geçen Senelerde olduğu gibi canlar yanmasın !
Patchlerimizi geçelim, açıklarımızı kapatalım.
Windows Server 2012 R2 – Hacking with CVE-2020-0796: Microsoft SMBv3 Remote Code Execution Vulnerability (12 MART 2020)
Türkiye’de açıktan etkilenme potansiyeli olan en az 17,000 makine görünüyor, umarız patch lerini geçmişlerdir.
İnternete açık Windows Server 2012 sunucularınız var ise ve eğer 445 portları internete açık ise acil olarak portları internete kapatmanızı öneririz. Öncelikle port açık mı birileri dışarıdan bağlanıyor mu diye aşağıdaki şekilde kontrol yapabilirsiniz.
Geçen senelerde Windows 2003 ve 2008 leri tehdit eden SMB açığı Mart 2020 de Server 2012 için de aktif vaziyette… 445 portunu eğer Windows sunucunuz üzerinde Firewall açıksa Firewall üzerinden kapatabilirsiniz.
https://www.ubackup.com/anti-ransomware/how-to-block-port-445-in-windows-3889.html
windows firewall ile 445 portunu engellemek için shell script
1. Type “cmd” in the search box, right click the cmd from the list and Run as administrator.
2. Input: netsh advfirewall set allprofile state on and press Enter.
3. Input: netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″ and press Enter.
Ama Sunucu üzerinde Firewall açık değilse ve 445 portunu (dosya paylaşım) komple Windows Registry üzerinden de kapatabilirsiniz.
Powershell kodu :
$netBTParametersPath = “HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”
IF(Test-Path -Path $netBTParametersPath) {
Set-ItemProperty -Path $netBTParametersPath -Name “SMBDeviceEnabled” -Value 0
}
Set-Service lanmanserver -StartupType Disabled
Stop-Service lanmanserver -Force
ve sunucuyu RESTART edin…
https://gallery.technet.microsoft.com/scriptcenter/How-to-disable-feature-49ac4d3e
Sağlıklı ve Güvenli Günler Dileriz…