Haftanın Önemli Gelişmeleri – 5. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

Ünlü Antivirüs Firması Kullanıcı Verilerini Sattı
Ünlü Antivirüs Firması Kullanıcı Verilerini Sattı

Dünyanın en büyük antivirüs ve güvenlik şirketlerinden olan Avast, son iki ay içinde bir gizlilik ihlali yaşadıktan sonra yan kuruluşu olan ve temizleme aracı olarak satın aldığı Jumpshot’ı kapatmayı planladığını duyurdu. Jumpshot 2013 yılında satın alınmış ve Avast altında PC temizleme aracı olarak hayata geçirilmişti. Ancak Jumpshot 2015 yılında veri analizine geçti ve odak noktası tüketici harcama verileri ve satın alımlarının analizine dayanan bir programa dönüştürüldü.

Avast antivirüsünün Mac ve Windows sürümü, kullanıcı alışkanlıklarını Google, Microsoft ve Intuit dahil olmak üzere üçüncü taraflara satması ile gündeme geldi. Açıklanan soruşturma raporunda toplanan veri miktarının 100 milyonu aştığını ve verilerin kullanıcıların hangi web sitelerini hangi sıklıkla girildiğini ve kişisel alışkanlıklarını içerdiği söylendi. Türkiye’de de sıklıkla tercih edilen bu antivirüs programının bu eklentisini kullananların bu eklentiyi kaldırmaları önerilmektedir.

Şirket tarafından yapılan açıklamada, yapılan hata kabul edildi ve özür dilendi. Bu gibi olayların bir daha yaşanmayacağına dair açıklamalar aktarıldı.

Birleşmiş Milletler Hacklendi
Birleşmiş Milletler Hacklendi

Birleşmiş Milletler’den edinilen bilgilere göre 2019 yılının sonlarında, örgütün siber saldırıların hedefinde olduğu tespit edilmiştir. Yapılan incelemelerde örgütün veri kaybı boyutunun çok fazla olduğu ve bilgisayar korsanlarının kimliklerinin belirlenemediği paylaşılmıştır. BM raporuna göre, gerçekleştirilen siber saldırılarda onlarca sunucunun hedef alındığı, İnsan Hakları ve İnsan Kaynakları departmanlarındaki yönetici hesaplarının saldırganlar tarafından ele geçirildiği açıklanmıştır. Ele geçirilen verilerin ilk incelemelere göre 400 GB boyutunda olduğu tespit edilmiştir.

Gerçekleştirilen siber saldırılarda bir grup bilgisayar korsanının Microsoft SharePoint zafiyetinden yararlandığı tespit edilmiştir. Birleşmiş Milletler’in İnsan Hakları Yüksek Komiserliği’ndeki sunuculara erişebilmek için henüz tanımlanamayan bir zararlı yazılım kullanıldığı açıklanmıştır. Konuya ilişkin önemli noktalardan birisi; saldırganların hedeflediği İnsan Hakları departmanı, insan hakları ihlallerine ilişkin hassas verilerin toplandığı ve saklandığı yer olarak bilinmektedir.

Birleşmiş Milletler personellerine yapılan duyurularda kullanıcıların parolalarını değiştirmeleri istenerek etkilenen temel altyapı sistemleri, kullanıcı yönetim altyapıları, sistem bileşenleri ve güvenlik ürünlerinin sıkılaştırmaları için çalışmalara başlandığı aktarıldı.

E-Posta Sunucularında RCE Zafiyeti
E-Posta Sunucularında RCE Zafiyeti

OpenSMTPD, başlangıçta OpenBSD projesinin bir parçası olarak geliştirilmiştir. Ancak günümüzde birçok UNIX tabanlı sisteme önceden yüklenmiş olarak gelen SMTP protokolünün açık kaynaklı bir uygulaması olarak kullanılmaktadır.

Siber güvenlik araştırmacıları, OpenSMTPD e-posta sunucusunda, saldırganların BSD ve birçok Linux tabanlı sunucu üzerinde kontrol sahibi olmasına izin veren, yeni bir kritik güvenlik açığı (CVE-2020-7247) keşfetmiştir.

Bu güvenlik zafiyetini keşfeden Qualys Research Labs’a göre, OpenSMTPD’nin yalnızca özel hazırlanmış SMTP gönderip kök (root) ayrıcalıklarına sahip olarak çalıştırılabilecek “smtp_mailaddr()” adındaki gönderici adres doğrulama işlevinde bulunmaktadır.

Güvenlik açığı OpenBSD 6.6 sürümünde bulunmaktadır. Hem yerel olarak etkinleştirilmiş arabirimin hem de arka plan programının, tüm arabirimleri dinlemesinin ve harici postaları kabul etmesinin uzaktan sağlanması için varsayılan yapılandırmaya göre çalışmaktadır.

Araştırmacılar “Güvenlik açığından yararlanılmasının yerel parça uzunluğu (maksimum 64 karakter) ve karakterler (‘$’, ‘|’, vb.) açısından bazı sınırlamaları vardı.” dedi. Ancak Qualys araştırmacıları, mail gövdesini bir kabuk komut dosyası olarak yürüterek ve Morris Worm’un bir tekniğini kullanarak, bu sınırlamaların üstesinden gelebilmişlerdir. Ayrıca araştırmacılar, OpenSMTPD güvenlik açığını gösteren bir istismar kodunu da kanıt olarak yayınlamışlardır.

Qualys, daha önce bir yama ile OpenSMTPD sürüm 6.6.2p1’i yayımlayan ve aynı zamanda OpenBSD kullanıcıları için bir güncelleme uygulayan OpenSMTPD geliştiricilerine, keşfettikleri güvenlik açığını bildirmiştir.

E-posta yazılımının savunmasız bir sürümünü kullananlar için, Sysadmins’in düzeltme ekinin mümkün olan en kısa sürede uygulanması önerilmektedir.

Intel İşlemcilerde Kritik Zafiyet Tespit Edildi
Intel İşlemcilerde Kritik Zafiyet Tespit Edildi

Microsoft, Windows 10 işletim sistemleri için 1909, 1903 ve daha eski sürümlerin versiyonlarını kapsayan ve Intel CPU donanım hatalarıyla ilgili güvenlik zafiyetlerini gideren yeni bir Intel Microcode güncelleştirmesi yayınlamıştır.

Intel Microcode güncelleştirme yazılımları, donanım tabanlı güvenlik zafiyetlerini ve hatalarını gideren güncelleştirmelerdir. Yayınlanan güncelleştirmeyle birlikte Intel CPU üretimlerinden sonra tespit edilen “speculative execution” (spectre) zafiyetini ortadan kaldırmaktadır. Spectre adı verilen zafiyet, modern mikro işlemcileri etkilemektedir.

Spectre, birçok işlemci üzerinde yer alan bölümlerin yanlış tahminde bulunmasından kaynaklanan ve saldırı sonucunda da sistemdeki hassas verilerin ifşa olmasına neden olan bir saldırıdı türüdür. Aşağıda belirtilen CPU modellerinde tespit edilen Spectre zafiyeti ile ilgili güvenlik güncelleştirmeleri yayınlanmıştır.

  • Denverton
  • Sandy Bridge
  • Sandy Bridge E, EP
  • Valley View
  • Whiskey Lake U

Intel Microcode güncelleştirmeleri Windows Update aracılığıyla yüklenememektedir. Manuel olarak sisteme indirilip kurulmalıdır. Windows’un desteklenen sürümleri için Intel Microcode güncellemelerine support.microsoft.com adresinden ulaşabilirsiniz.

Güncelleştirmelerin sisteme uygulanabilmesi için işlemci modellerinin, yukarıda paylaşılan Windows sürümlerinde desteğinin bulunması gerekmektedir. Ayrıca paylaşılan güncelleştirmeler CPU’da performans sorunlarına neden olsa da güvenlik ilkeleri nedeniyle güncelleştirmelerin yapılması önerilmektedir.

Twitter CEO’su Hacklendi ve SMS Tweet Özelliği Devre Dışı Bırakıldı
Twitter API İçin Kırmızı Alarm

Twitter yaptığı açıklamada, 24 Aralık 2019 tarihinde saldırgan kişilerin kullanıcı hesapları ile telefon numaralarını eşleştirmek için Twitter API’sini kullanan, geniş bir sahte hesap ağı oluşturduklarını tespit etmiş ve bu hesapları hemen askıya aldığını bildirmiştir.

Twitter araştırması sırasında bazı ek hesaplar keşfetmiş bu hesapların API’nın amacının dışında kullanıldığını ve sömürüldüğünü gözlemlemiştir. Ek hesapların birçoğunun İran, İsrail ve Malezya IP adresleri olduğunu açıklamıştır. Aynı zamanda Twitter bu kişilerin devlet destekli saldırı grupları (APT) olabileceğini düşünmektedir.

Bu API’nın asıl kullanım amacı yeni hesap sahiplerinin, tanıdıkları kişileri bulmasını kolaylaştırmaktır. Bu özellik kullanıcılara seçenek olarak sunulmaktadır. Bu API’den yararlanmak için “Telefon numaranızı bilenlerin sizi Twitter’da bulmasına izin ver” seçeneğine izin vermiş olmanız gerekmektedir. Twitter yapmış olduğu açıklamada bu ayarı etkinleştirmeyen kişilerin bu güvenlik açığından etkilenmediklerini duyurmuştur.

Twitter şimdilik önlem olarak bu API’sinde belirli hesap adlarının görünmesini engellemiş ancak tam anlamıyla henüz bir güncelleme sunmamıştır. Yapılan açıklamaya göre Twitter API’sının tehdit aktörleri tarafından kötüye kullanılmasını mümkün olan en kısa sürede durdurmaya odaklandıklarını duyurmuş ve çalışmalara devem ettiklerini, devlet destekli saldırılarla mücadele etmeye devam edeceklerini paylaşmıştır.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri