Teknoloji devi Microsoft geçen hafta IIS (Internet Information Services) web sunucularının zararlı HTTP/2 istekleriyle hizmet dışı bırakılabileceğini açıkladı.
Yapılan açıklamalara göre, özel olarak hazırlanan HTTP/2 isteklerinin web sunucusuna gönderilmesi ile sistemin işlemci kullanımı %100’e ulaştırılabiliyor ve bu yolla sunucunun isteklere yanıt vermemesi sağlanabiliyor.
Neden kaynaklanıyor?
HTTP/2.0 bağlantı protokolü, istemcilerin sunucuya isteği sayıda parametreyle birlikte SETTINGS çerçevesi ile istek yapmasına olanak sağlar. Bu özellik aşırı kullanıldığında sunucu tarafında çalışan hizmetlerin işleyişinde aksaklık meydana gelebilir ve yapılan bağlantılar zaman aşımına uğrayıncaya kadar işlemci kullanımında ani bir artış olur.
Nasıl korunabiliriz?
Bu güvenlik açığından; Windows 10, Windows Server ve Windows Server 2016 sürümleri etkilenmektedir. Microsoft’un Şubat ayında yayınladığı güncelleştirmeler bununla ilgili bir düzeltme içermediği için bilgi teknolojileri yöneticilerinin HTTP/2 SETTINGS çerçevesi ile gönderilen isteklere kendi sistemlerine uygun bir sınırlama getirerek bu sorunu gidermeleri gereklidir.
Sınırlama belirlemek için aşağıdaki kayıt defteri anahtarlarında ilgili düzenlemeler yapılabilir.
Kayıt defteri yolu: Bilgisayar\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Ad: Http2MaxSettingsPerMinute
Tür: DWORD
Veri: Bu değer en az 7 en fazla 2796202 olabilir
Gerekli düzenlemeler yapıldıktan sonra değişikliklerin etkili olabilmesi için sistemin veya web sunucusunun yeniden başlatılmasına ihtiyaç olabilir.
Bu sınır, dakikada kaç istek yapılabileceğini belirler. Sunucunuzuna uygun bir değer belirtildiğinde sınırın aşılmasıyla birlikte zararlı bağlantılar direkt sonlandırılır ve hizmet dışı bırakma saldırılarının önüne geçilmesine yardımcı olur.
(Referans: https://support.microsoft.com/en-us/help/4491420/define-thresholds-on-the-number-of-http-2-settings-parameters-exchange)
DİKKAT! Kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olmalısınız. Lütfen kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Windows’da kayıt defterini nasıl yedekleyeceğinizi öğrenmek için şu adresi ziyaret edebilirsiniz: https://support.microsoft.com/tr-tr/help/322756
Bir yanıt bırakın