Samba’nın WINS sunucusu kanca komut dosyasında yeni açıklanan bir güvenlik açığı, kimliği doğrulanmamış saldırganların etkilenen etki alanı denetleyicilerinde rastgele komutlar çalıştırmasına olanak tanıyor.
CVE-2025-10230 olarak takip edilen bu kritik kusur, maksimum CVSSv3.1 puanı 10,0’dır; bu, kullanım kolaylığını ve gizlilik, bütünlük ve kullanılabilirlik üzerindeki yıkıcı etkisini yansıtır.
Güvenlik Açığına Genel Bakış
Sorun, Samba’nın WINS desteği etkinleştirildiğinde ve Samba tarafından bildirildiği gibi bir etki alanı denetleyicisi smb.conf dosyasında bir win hook parametresi belirttiğinde ortaya çıkıyor.
Bu koşullar altında, WINS adında yapılan herhangi bir değişiklik, uygun giriş doğrulaması olmadan belirtilen programı tetikler.
| CVE Kimliği | Etkilenen Sürümler | CVSS 3.1 Puanı | Etki Özeti |
| CVE-2025-10230 | 4.0’dan bu yana tüm sürümler | 10.0 | AD denetleyicilerinde hazırlanmış WINS adı aracılığıyla kimliği doğrulanmamış uzaktan kod yürütme |
WINS sunucusu adları doğrudan bir kabuk komutuna aktardığından, saldırgan, kabuk metakarakterlerini içeren kötü amaçlı bir NetBIOS adı oluşturabilir.
Ad işlendikten sonra eklenen veri, sunucuda sistem düzeyinde izinlerle yürütülür.
Varsayılan olarak, kazanma desteği devre dışıdır, ancak birçok yönetici eski uygulamaları entegre etmek için bu desteği etkinleştirir.
Güvenlik açığı, WINS destekli Active Directory Etki Alanı Denetleyicisi olarak çalışırken 4.0’dan itibaren tüm Samba sürümlerini etkiliyor. AD dışı roller ve bağımsız veya üye sunucular farklı bir WINS sunucusu uygulaması kullanır ve etkilenmez.
Kusurun kritik doğası, ağın açığa çıkması, kimlik doğrulama gereksinimlerinin bulunmaması ve başarılı bir şekilde kullanılması durumunda tam sistem kontrolünün birleşiminden kaynaklanmaktadır.
Uzaktaki saldırganların geçerli kimlik bilgilerine ihtiyacı yoktur ve özel hazırlanmış bir WINS isteği göndermenin ötesinde hiçbir kullanıcı etkileşimi gerekmez.
Bu, bir organizasyonu veri hırsızlığına, arka kapı kurulumuna, fidye yazılımı dağıtımına veya altyapının tamamen ele geçirilmesine açık hale getirir.
Yüksek CVSSv3.1 vektör dizisi (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), belleğin kök düzeyinde okuma ve yazma erişiminin altını çizer.
Samba’yı WINS etkinleştirilmiş bir etki alanı denetleyicisi olarak çalıştıran kuruluşlar, bu güvenlik açığını acil bir öncelik olarak ele almalıdır.
Azaltma ve Öneriler
Samba 4.23.2, 4.22.5 ve 4.21.9 yamaları yayınlandı.
Yöneticiler derhal bu sürümlerden birine yükseltme yapmalı veya Samba’nın güvenlik sayfasında bulunan resmi yamayı uygulamalıdır.
Güncelleştirmenin aynı anda yapılamadığı ortamlarda, WINS desteği etkin kaldığı sürece, win hook parametresinin kaldırılması veya devre dışı bırakılması etkili bir geçici çözüm sağlar. Özellikle, açıkça ayarlama
wins hook =smb.conf dosyasındaki komut çağrısını engelleyerek güvenlik açığını ortadan kaldıracaktır.
Alternatif olarak, WINS desteğini tamamen devre dışı bırakmak (kazanma desteği = hayır), varsayılan güvenli davranışı geri yükler; ancak bu, eski ad çözümlemesini bozabilir.
Yöneticiler, gereksiz kancaların mevcut olmadığını doğrulamak için etki alanı denetleyicilerinin yapılandırmalarını denetlemelidir.
Samba’nın gelecekteki sürümleri, kullanımdan kaldırılmış WINS kancası işlevini tamamen kaldırabilir; bu nedenle, uzun vadeli dağıtımlar planlayan ekiplerin bu mekanizmaya güvenmeyi yeniden düşünmesi gerekir.
CVE-2025-10230, WINS destekli Samba AD Etki Alanı Denetleyicilerini kullanan tüm kuruluşlar için ciddi bir risk teşkil etmektedir.
Önemsiz ağ tabanlı yararlanma ve tam kod yürütmenin birleşimi, anında eylem gerektirir.
Yöneticiler, güncellemeleri uygulayarak veya güvenlik açığı bulunan yapılandırmayı devre dışı bırakarak ağlarını uzaktan ele geçirmeye karşı koruyabilir ve kritik dizin hizmetlerinin bütünlüğünü koruyabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.