12 Mayıs’ta dünya çapında birçok kuruluşu etkileyen büyük çapta bir fidye yazılımı saldırısı gerçekleştirilmiştir. Bu konudaki çeşitli istatistik sonuçlarına göre en çok Rusya’da olmak üzere 74 ülkede en az 45.000 fidye yazılımı bulaştırma teşebbüsü saptanmıştır.
Bu siber saldırının baş rolü olan WannaCry fidye yazılımı, kurbanlarına Microsoft Windows’un SMBv1 sisteminde bulunan ve Microsoft Güvenlik Bülteni MS17-010 (CVE-2017-0144) kapsamında tanımlanıp-kapatılmış olan bir güvenlik açığından faydalanarak bulaşmaktadır. Kullanılan “Eternal Blue” adlı exploit, 14 Nisan 2017’de Shadow Brokers hacker grubu tarafından NSA’in hacking araçlarını ifşa etmesiyle ortaya çıkmıştı.
Diğer yandan, Türkiye’deki SMB (445) portu internete açık olup ve MS17-010 zafiyetini barındırma potansiyeli olan sistemlerin sayısı 15,497’dir. (Tespit tarihi: 22.05.2017)
MS17-010 ZAFİYETİ NASIL TESPİT EDİLİR?
Ağınızda bu kritik seviyeli zafiyeti barındıran makineleri tespit etmek için Nmap programı kullanacağız. Ancak bu taramada bize “smb-vuln-ms17-010.nse” isimli Nmap scripti yardımcı olacaktır.
Scripti buradan https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse indirebilirsiniz.
İndirilen scripti Linux sistemlerde;
/usr/share/nmap/scripts/ veya /usr/local/share/nmap/scripts/
Windows sistemlerde;
C:\Program Files (x86)\Nmap\scripts\
OSX sistemlerde ise;
/opt/local/share/nmap/scripts/
dizinlerinin altına kopyalamalısınız.
Scriptin Zenmap/Nmap ile örnek kullanımı aşağıdaki gibidir:
KORUNMA YÖNTEMLERİ
Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017’de yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir. (https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)
İnternete hizmet veren sistemlerinizdeki 445/TCP portunun kapatılması gerekmektedir.
Tüm ağ noktalarında güvenlik çözümlerinin aktif olduğundan emin olun.
Davranışsal proaktif bir tespit bileşeni olan ve güncel imza veritabanına sahip güvenlik yazılımı kullanın. Böylece bir virüs taraması gerçekleştirin.
İnternete açık sunucularınızda MS17-010 zafiyetinin olup olmadığını http://ms17-10.com üzerinden de online olarak ücretsiz bir şekilde test edebilirsiniz.
YAMA DOĞRULAMA
İşletim sistemleriniz üzerinde (XP-7, 8, 8.1-2K8, 2K8R2, 2012, 2012R2, 10) ilgili güvenlik güncellemelerinin kurulu olup olmadığını test etmek amacıyla aşağıdaki vbscript kodunu kullanabilirsiniz.
Yeni bir metin belgesi oluşturup içerisine aşağıdaki kodları yapıştırıp *.vbs ismiyle kaydediniz.
Kaydedilen script’i çift tıklayıp çalıştırdığınızda arka planda gerekli güncellemelerin kurulu olup olmadığı kontrol edecek ve size bilgi verecektir.
‘———————–
Dim KBList
Set KBList = CreateObject(“System.Collections.ArrayList”)
KBList.Add “4012212”
KBList.Add “4012213”
KBList.Add “4012214”
KBList.Add “4012215”
KBList.Add “4012216”
KBList.Add “4012217”
KBList.Add “4012598”
KBList.Add “4012606”
KBList.Add “4013198”
KBList.Add “4013429”
KBList.Add “4019474”
KBList.Add “4015221”
KBList.Add “4016637”
KBList.Add “4015219”
KBList.Add “4016636”
KBList.Add “4019473”
KBList.Add “4019472”
KBList.Add “4015217”
KBList.Add “4015438”
KBList.Add “4016635”
KBList.Add “4015549”
KBList.Add “4015550”
KBList.Add “4015551”
KBList.Add “4019215”
KBList.Add “4019216”
KBList.Add “4019264”
Set WshShell = CreateObject(“WScript.Shell”)
WshShell.Run “cmd /c wmic qfe list | clip”, 0, True
For Each kb In KBList
If InStr(CreateObject(“htmlfile”).ParentWindow.ClipboardData.GetData(“text”), “KB” + kb) > 0 Then
MsgBox(“Sisteminiz gerekli guncellemeleri almis ve guvenli! (KB” + kb + “)”)
WScript.Quit
End If
Next
MsgBox(“Sisteminize gerekli guncellemeler yuklenmemistir! Windows Update calistirmalisiniz!”)
Teşekkürler.
