Samba, saldırganların Active Directory etki alanı denetleyicilerini ele geçirmesine olanak verebilecek ciddi bir uzaktan kod yürütme (RCE) kusurunu açıkladı.
CVE-2025-10230 olarak takip edilen güvenlik açığı, Windows İnternet Ad Hizmeti (WINS) kanca mekanizmasındaki hatalı doğrulamadan kaynaklanıyor ve kullanım kolaylığı ve yıkıcı potansiyel etkisi nedeniyle CVSS 3.1’den 10,0 gibi mükemmel bir puan alıyor.
Windows dosya paylaşımını ve kimlik doğrulamasını taklit etmek için Linux ve Unix ortamlarında yaygın olarak kullanılan SMB/CIFS ağ protokolünün açık kaynaklı uygulaması olan Samba, uzun süredir platformlar arası kurumsal ağlar için bir temel taşı olmuştur.
Ancak bu kusur, Active Directory Etki Alanı Denetleyicisi (AD DC) olarak kendisine güvenen kuruluşların kimlik doğrulamasız saldırılara maruz kalmasına neden olur.
Aisle Research’ten güvenlik araştırmacısı Igor Morgenstern tarafından keşfedilen sorun, WINS desteği ve smb.conf dosyasındaki özel bir ‘wins hook’ komut dosyası gibi belirli yapılandırmaların etkinleştirildiği 4.0’dan bu yana tüm Samba sürümlerini etkiliyor.
Samba RCE Güvenlik Açığı
DNS öncesi dönemden kalma, kullanımdan kaldırılmış bir Microsoft protokolü olan WINS, eski Windows ağlarındaki NetBIOS adlarını çözümler.
Varsayılan olarak, Samba’da WINS desteği devre dışıdır, ancak ad değişikliklerinde harici bir komut dosyasını tetikleyen ‘wins hook’ parametresiyle birlikte bir AD DC’de etkinleştirildiğinde, sistem hazır bir ördek haline gelir.
Saldırganlar, 15 karakterlik NetBIOS sınırı dahilinde kabuk meta karakterleri içeren hazırlanmış WINS adı kayıt istekleri gönderebilir.
Bunlar, herhangi bir kimlik doğrulama veya kullanıcı etkileşimi gerektirmeden bir kabuk aracılığıyla yürütülen kanca komut dosyasına rastgele komutlar enjekte eder.
Güvenlik açığının kapsamı dar ancak tehlikelidir: Samba’yı yalnızca AD DC modunda etkiler (‘etki alanı denetleyicisi’ veya ‘aktif dizin etki alanı denetleyicisi’ gibi roller).
Farklı bir WINS uygulaması kullanan bağımsız sunucular veya üye sunucular bu durumdan etkilenmez. Uygulamada bu, ağdaki uzak tehdit aktörlerinin tüm sistemi tehlikeye atmasına, hassas verileri sızdırmasına, fidye yazılımı dağıtmasına veya kuruluşlarda yaygın olarak kullanılan hibrit Windows-Linux kurulumlarında ayrıcalıkları yükseltmesine olanak tanıyabilir.
Azaltmalar
Samba bakımcıları hızla harekete geçerek güvenlik portallarında yamalar yayınladılar ve güncellenmiş sürümler yayınladılar: 4.23.2, 4.22.5 ve 4.21.9.
Yöneticiler, özellikle eski WINS bağımlılıklarının olduğu ortamlarda yükseltmelere öncelik vermelidir.
Geçici bir çözüm olarak ‘wins hook’ parametresini tamamen devre dışı bırakın veya smb.conf’ta ‘wins support = no’ seçeneğini ayarlayın. Samba’nın varsayılan yapılandırması bu riskli birleşimi zaten önleyerek çoğu kurulumu kutudan çıktığı anda güvenli hale getirir.
Uzmanlar daha geniş bir inceleme yapılmasını talep ediyor: WINS artık geçerliliğini yitirmiştir ve modern etki alanı denetleyicilerinde kullanımı nadirdir ve tavsiye edilmez. Gelecekteki Samba sürümleri desteği bırakabileceğinden, yama sonrasında bile yöneticiler kancaları tamamen devre dışı bırakabilir.
Hibrit bulutlarda saldırı yüzeylerinin genişlediği bu olay, eski protokollerin ulus devlet aktörleri veya siber suçlular için giriş noktaları haline gelmeden önce denetlenmesi ve aşamalı olarak kaldırılması gerektiğinin altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
