Biznet BilişimBiznet Bilişim

By Emre Can Lekesiz

RDP Kabul eden Vault ve DR Vault sunucularına dikkat

Ürün: CyberArk
Modüller: Vault ve DR Vault
Versiyon: MS Windows Server2008R2, Server2012R2 Server2016
Raporlayan: Emre Can Lekesiz
Problem Detayları:

Yeni ortaya çıkan bir Microsoft zafiyeti, potansiyel olarak RDP ile bağlantı kabul edebilen dijital kasanızı (Vault ve DR Vault) Remote Code Execution saldırılarına maruz bırakabilir.

Bu güvenlik zafiyetinden Server2008, 2012 ve 2016 üzerine yüklenen ve RDP’ye izin veren tüm kasalar etkilenebilmektedir. Belirli IP’lerden RDP’ye izin veriyor olsanız dahi risk altındasınız.

Zafiyet hakkında detaylı bilgi almak isterseniz:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0886

Çözüm Önerisi:

Öncelikle Vault ve DR Vault sunucuları CyberArk’ın patentli yedi katmanlı hardening işleminden geçse de bu kez karşımızda işlemci seviyesinde çalışan bir zararlı olduğu için bu güncelleştirmeleri mutlaka geçmenizi öneriyoruz. CPM, PVWA, PSM bileşenlerinin, etki alanı üyesi oldukları için normal bir şekilde Windows güncelleştirmelerini aldıklarına emin olabilirsiniz. Ancak Vault ve DR Vault için aşağıdaki adımları takip etmenizde fayda var.

He ne kadar henüz bu güvenlik zafiyetinin uzak lokasyondan doğrudan çalıştırıldığı görülmemiş olsa da, bu güncelleştirmeyi sanal veya fiziksel sunucu kullanımından ve CyberArk’ın versiyonundan bağımsız olarak yüklemenizi öneririz.

Vault ve DR Vault için:

  1. Server 2008R2 için: KB4103718
    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103718
    İndirmeniz gereken paket:
    2018-05 Security Monthly Quality Rollup for Windows Server 2008 R2 for Itanium-based Systems (KB4103718)
  2. Server 2012R2 için: KB4103725
    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103725
    İndirmeniz gereken paket:
    2018-05 Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems (KB4103725)
  3. Server 2016 için: KB4103723
    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103723
    İndirmeniz gereken paket:
    2018-05 Cumulative Update for Windows Server 2016 for x64-based Systems (KB4103723)
  1. Vault sunucuda hizmeti kapatınız. PrivateArk Server programı ile servisi durdurunuz.
  2. Aşağıdaki Windows servislerini başlatınız:
    1. Windows Update
    2. Windows Module Installer
  3. Server 2012 ve 2016 için aşağıdaki prosedürü uygulayınız:
    1. Aşağıdak registry lokasyonuna gidiniz:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiserver
    2. “Start” anahtarının değerini 3 yapınız:
    3. Bu değişiklikten sonra Vault sunucunuzu yeniden başlatmanız gerekmektedir.
    4. Sunucu yeniden başladığında Windows Installer servisini başlatınız.
  4. İlgili güncelleştirmeyi indirip Vault sunucuya kopyalayınız ve yükleyiniz.
  5. Yükleme sonrası başlattığınız servisleri durdurunuz ve hatta durumlarını disable ediniz:
    1. Windows Update
    2. Windows Module Installer
  6. Server 2012 için, tekrar aynı registry anahtarına ulaşınız ve bu kez değeri 4 olacak şekilde değiştiriniz. Bkz. 3.b
  7. Vault sunucunuzu yeniden başlatınız.
  8. Sunucu yeniden başlatıldığında, Vault hizmetinizin başladığından emin olunuz. Başlamadıysa PrivateArk Server ile servisi start ediniz.
  9. Windows Servislerinde CyberArk Event Notification servisinin başladığından emin olunuz.

Eğer Vault sunucularınız hiçbir şekilde RDP kabul etmiyorsa, dbparm.ini dosyasında izinli bir IP yok ise bu zafiyetten etkilenmeniz söz konusu olmayacaktır.

CyberArk’ın yanı sıra, Microsoft’un tavsiye ettiği şekilde, sunucudan sunucuya RDP yapılıyorsa ilgili sunuculara da bu güncelleştirmeyi geçmeniz doğru olacaktır.

Bu zafiyet Mart ayında raporlanmasına rağmen, CyberArk Mayıs ayında çıkan monthly rollup yamasını indirip yüklemenizi önermektedir. Çünkü daha önce çıkan yamalar çeşitli performans ve ağ sorunlarına neden olmuştu.

Zafiyet, Man-in-the-middle saldırısı yapılmasına imkan tanıdığı için, saldırganın uzaktan Vault’a yapılan RDP bağlantısını ele geçirme ihtimali bulunmaktadır. Microsoft, henüz bu zafiyetten dolayı olumsuzluk yaşadığını belirten bir kullanıcısının olmadığını belirtmektedir.

By Emre Can Lekesiz

CyberArk Meltdown ve Spectre Konusunda Yapmanız Gerekenler

Ürün: CyberArk
Modüller: Vault ve DR Vault
Versiyon: MS Windows Server2008R2 ve Server2012R2
Raporlayan: Emre Can Lekesiz
Problem Detayları:

30 Ocak’ta, Meltdown ve Spectre zafiyetlerine yönelik Microsoft tarafından yayınlanan yamaların performans sorunlarına neden olmasından dolayı olumsuz geri bildirimler alan üretici, bu sorunları çözen yeni güncellemeler yayınlamak durumunda kaldı. Dolayısıyla, CyberArk bileşenlerinin yüklü olduğu Windows sunucularda geçmeniz gereken Windows Update’ler bulunuyor. Bilindiği üzere Meltdown ve Spectre zafiyetleri, işlemci seviyesinde, işletim sisteminin kullanıcı-çekirdek arasında kalan bariyerin delinmesine ve burada çalışılabilmesine neden oluyor. Intel x86 ve ARM tabanlı işlemciler Meltdown ve Spectre’den etkilenebiliyor.

Kullanıcıların işletim sistemi üzerinde çalıştırdığı prosesler, işlemcinin kernel hafızasına erişebiliyor, bu durum hassas verilerin açığa çıkarılması sonucunu doğurabiliyor. Özellikle VMware ESX, AWS gibi sanallaştırma ortamlarında Meltdown ve Spectre’den etkilenen işlemci, bir başka sanal makinenin hafızasına da erişebiliyor. Bu nedenle CyberArk bileşenlerinin yüklü olduğu sunucularda söz konusu Microsoft güncelleştirmelerini yapmanızda büyük fayda var.

Konuyla ilgili daha detaylı bilgi almak için;
https://www.kb.cert.org/vuls/id/584653
https://www.us-cert.gov/ncas/alerts/TA18-004A
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Çözüm Önerisi:

Öncelikle Vault ve DR Vault sunucuları CyberArk’ın patentli yedi katmanlı hardening işleminden geçse de bu kez karşımızda işlemci seviyesinde çalışan bir zararlı olduğu için bu güncelleştirmeleri mutlaka geçmenizi öneriyoruz. CPM, PVWA, PSM bileşenlerinin, etki alanı üyesi oldukları için normal bir şekilde Windows güncelleştirmelerini aldıklarına emin olabilirsiniz. Ancak Vault ve DR Vault için aşağıdaki adımları takip etmenizde fayda var.

He ne kadar henüz bu güvenlik zafiyetinin uzak lokasyondan doğrudan çalıştırıldığı görülmemiş olsa da, bu güncelleştirmeyi sanal veya fiziksel sunucu kullanımından ve CyberArk’ın versiyonundan bağımsız olarak yüklemenizi öneririz.

Vault ve DR Vault için:

  1. Server 2008R2 için: KB4074598
    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074598

İndirmeniz gereken paket:
2018-02 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4074598)

  1. Server 2012R2 için: KB4074594
    https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074594

İndirmeniz gereken paket:
2018-02 Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems (KB4074594)

  1. Vault sunucuda hizmeti kapatınız. PrivateArk Server programı ile servisi durdurunuz.
  2. Aşağıdaki Windows servislerini başlatınız:
    1. Windows Update
    2. Windows Module Installer
  3. İndirip Vault sunucuya attığınız ilgili yamayı yükleyiniz.
  4. Yükleme sonrası başlattığınız servisleri durdurunuz:
    1. Windows Update
    2. Windows Module Installer
  5. Vault hizmetini başlatınız. PrivateArk Server ile servisi başlatınız.
  6. Aşağıdaki Registry anahtar komutlarını ekleyiniz ve güncellendiğinden emin olunuz:
    1. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    2. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    3. reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
  7. Sunucuyu yeniden başlatınız.

NOT: Eğer Vault’unuz Hyper-V üzerinde çalışıyorsa ve firmware güncelleştirmeleri geçildiyse, tüm sanal sunucuları kapatmanız ve sanal sunuculara firmware yaması geçmeden önce hostun güncelleştirmesini yapmanız gerektiğini hatırlatırız.

Bu işlemi DR Vault üzerinde deuygulamayı unutmayınız. DR Vault üzerinde hizmet pasif konumda beklediğinden durdurmanıza gerek olmayacaktır ancak yine de sunucuyu yeniden başlatmanız gerekecektir.

By Emre Can Lekesiz

CyberArk Anti-Virus İstisna Listesi

Ürün: CyberArk

Modüller: Hepsi

Versiyon: MS Windows Server 2008 R2 ve Server 2012 R2

Raporlayan: Emre Can Lekesiz

Problem Detayları:

CyberArk bileşenlerinin yüklü olduğu Windows sunucularda Anti-Virüs yazılımı yüklenecek ise hangi dizinlerin exclude listesine alınması gerektiğini bu duyurumuzdan görebilir, sorularınızı helpdesk@biznet.com.tr adresinden bizlere gönderebilirsiniz.   Read more

By Emre Can Lekesiz

CyberArk Vault Sunucu için MS Güvenlik Yaması

Ürün: CyberArk

Modüller: Vault Server

Versiyon: Vault Sunucu, MS Windows Server 2008 R2 ve Server 2012 R2

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Microsoft sunucularda HTTP.sys hizmetinde ortaya çıkan Windows güvenlik zafiyeti konusunda sizleri bilgilendirmek istiyoruz. Bu açık potansiyel olarak, CyberArk Dijital Kasasının, arka planda kendi modülleri arasında kullandığı servislere ilişkin bilgilerin ortaya çıkmasına neden olabiliyor.

Vault sunucu, kendi modülleri ve servisleriyle iç haberleşmesini HTTP.sys hizmetiyle yönetiyor. Sunucunuzda HTTP.sys hizmetine erişebilen bir saldırgan, bu Microsoft açığını kullanarak, CyberArk’ın kullandığı belirli iç haberleşme hizmetlerine ilişkin bilgileri ele geçirebilir.   Read more

1 2 3