Google tarafından oluşturulan QUIC, UDP kullanarak gecikme ve paket kaybı sorunlarını giderirken bağlantı güvenilirliğini ve güvenliğini artırmayı amaçlayan modern bir aktarım katmanı protokolüdür.
Microsoft’un QUIC uygulaması MsQuic olarak bilinir ve Windows Server 2022’de IIS’de SMB ve HTTP/3 için kullanılır ve Azure sürümüne özel QUIC üzerinden SMB ile kullanılır.
Akamai’deki siber güvenlik analistleri, tehdit aktörlerinin DoS saldırıları başlatmak için Microsoft Windows Server 2022 güvenlik açığından aktif olarak yararlandığını bildirdi.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Microsoft Windows Server 2022 Güvenlik Açığı
QUIC, durumu korumak için benzersiz bir bağlantı tanımlayıcısı kullanır ve istemcilerin birden fazla akışta eşzamanlı veri alışverişi için çoğullanmış birden fazla eşzamanlı bağlantı kurmasına olanak tanır.
QUIC kodu üzerinden SMB srvnet.sys istemcinin SMB mesajlarını okumak ve işlemek için SrvNetQuicServerReceiveEvent’i kullanır. Kod aşağıdakileri yaparken: –
- SMB mesaj boyutunu okur
- Bir arabellek ayırır
- Başarılı mesaj alımı üzerine SMB katmanına sinyal verir
Güvenlik açığı, SMB mesaj boyutu için <4 bayt alındığında ortaya çıkar ve kodun X bayt kaydetmesine ve PendingMessageSize'ı 4 – X olarak ayarlamasına ve sonraki paketlerin kalan baytları okumasına neden olur.
Kod, tahsis öncesinde SMB mesaj boyutunu izin verilen maksimum boyuta göre doğrulamaz ve saldırganın boyutu iki pakete bölerek sınırları aşmasına olanak tanır.
DoS için bu hatadan yararlanmak için sürekli tetikleyen paketler gereklidir, ancak iki kısıtlama kalmıştır ve burada bunlardan aşağıda bahsedilmiştir: –
SrvNetAllocateBuffer’ın 16 MB’lık katı bir ayırma sınırı vardır.
Kimliği doğrulanmamış eşzamanlı bağlantılar, sunucu RAM’i ile sınırlıdır ve bu durum, kötüye kullanımın 32 GB veya daha az RAM’e sahip sunucularla sınırlandırılmasını sağlar.
Analistler bu durumdan yararlanmak için birden fazla bağlantı oluşturdular ve her biri 16 MB’lık tahsisi tetikleyecek iki paket gönderdiler. Ancak bunun tekrarlanması hafızanın tükenmesine neden olur ve bu da sistemin kararsızlığına veya arızalanmasına neden olur.
Bundan yararlanmak için çok sayıda paket gerekir, ancak QUIC özelliklerinin kötüye kullanılması, QUIC üzerinden SMB eşzamanlı akışları bir taneyle sınırladığından paket sayısını azaltabilir.
Araştırmacılar, birden fazla eşzamanlı akışın, istismarın iyileştirilmesi açısından etkisiz olduğunu buldu. Bunun yerine, seri ve yinelenen bir sırayla birden fazla çerçeve içeren bir QUIC paketi kullanırlar.
Aşağıda, diziden bahsettik: –
- Akış oluştur
- İki DATA çerçevesi göndererek 16 MB ayırmayı tetikleyin
- Akışı kapat
Bu sorunu çözmek için araştırmacılar, QUIC üzerinden SMB’yi devre dışı bırakmak dışında başka bir düzeltme bulunmadığından Windows Server’a yama uygulanmasını öneriyor.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.