Haftanın Önemli Gelişmeleri – 26. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

bitcoin miner
Kripto Para Madenciliği Yapan Linux Zararlı Yazılımı Windows ve MacOS Sistemlerini Hedef Aldı

Siber güvenlik araştırmacıları, GNU/Linux tabanlı kripto para birimi madenciliği yapan zararlı yazılım keşfetti. Windows ve MacOS işletim sistemlerini hedef alan saldırılara “LoudMiner” adı verildi. Saldırganların uyguladığı kripto para birimi madenciliği zararlı yazılımı “Tiny Core Linux” işletim sistemini arka planda tespit edilmeden başlatmak için komut satırı tabanlı sanallaştırma yazılımı kullandı. Saldırganlar tek platformda çalışan zararlı yazılımı, çapraz platformlarda uygulayarak ilginç bir yöntem uyguladı.

ESET ve Malwarebytes araştırmacıları, Ağustos 2018 yılından bu yana VST (Virtual Studio Technology) yazılımının korsan ve kırılmış kopyalarının internet ve Torrent ağı üzerinden dağıtıldığını tespit etti. VST uygulaması ses efektleri, ses sentezleyicisi ve teknoloji merkezli ses profesyonellerinin kullandığı gelişmiş düzenlemeler sunan yazılımdır. Kullanılan VST yazılımı ses üretimiyle ilgili olduğundan kullanıcıların sistemlerinin iyi işlem gücüne sahip olması gerekmektedir. Bu nedenle saldırganların hedeflediği kullanıcılar yüksek CPU tüketimini normal karşıladı.

Araştırmalar sonucunda 42’si Windows ve 95’i MacOS platformu için olan yaklaşık 137 adet VST ile bağlantılı uygulamaların zararlı yazılım çalıştıran sürümleri tespit edildi. MacOS sistemlerde zararlı yazılım, birden fazla terminal komutu çalıştırıyor ve sanal GNU/Linux işletim sistemini başlatmak için QEMU (Quick Emulator) programını kullanıyor. Windows sistemlerde bu işlemler VirtualBox üzerinden sağlanıyor. Zararlı yazılım, kurulum ve çalıştırma işlemlerinden sonra sistemde kalıcılığı sağlamak için ek dosyalar yüklüyor ve arka planda sanal makineler çalıştırarak kripto para madenciliği yapıyor.

Kullanılan sistemlerin güvenliği ve bütünlüğü için internet ortamında paylaşılan korsan yazılımlara ve resmi olmayan sayfalardan paylaşılan uygulamalara kesinlikle fırsat verilmemesi gerekir.

firefox
Mozilla Güvenlik Yamalarını Yayınlayarak Firefox 67.0.4 Çıkardı

Geçen haftanın başlarında Firefox 67.0.3’te aktif olarak istismar edilebilecek kritik bir güvenlik açığı bulundu. Zafiyet şirkete bildirildikten sonra, Mozilla, güvenlik zafiyetini kapatmak için patch yayınlama çalışmalarına başlamıştı. Patch çalışmaları devam ederken şirket başka bir güvenlik zafiyeti ile daha karşı karşıya kaldı.

İkinci kritik zafiyet ortaya çıktıktan sonra şirket milyonlarca kullanıcısını, bu zero day güvenlik zafiyeti konusunda da uyardı. Bu yeni yamalı zafiyet(CVE-2019-11708), daha önceden patch yayınlanan “type confusion” zafiyeti(CVE-2019-11707) ile birlikte kullanıldığında, uzaktaki bir saldırganın kurbanın makinesi üzerinde rastgele kod çalıştırabilmesine izin vermektedir.

Mozilla, Google Project Zero araştırmacılarının bildirmesi sonucunda ilk zafiyetten Nisan ayında haberdar oldu. Fakat ikinci zafiyet geçtiğimiz haftalarda ortaya çıktı. Beklenmedik ikinci zafiyeti öğrenen Mozilla, saldırganların her iki kusuru bir araya getirerek kullanıcılara daha etkili bir saldırı yapılabileceğini de geçen hafta öğrendi.

Son olarak, şirket her iki zafiyeti de ele alan Firefox versiyon 67.0.4 ve Firefox ESR 60.7.2’yi piyasaya sürdü. Yayınlanan son sürümler sayesinde saldırganların sistemlerinizi bu zafiyetler üzerinden kontrol altına alması önlendi. Şirket tarafından yapılan açıklamada, varsayılan şartlarda Firefox son güncellemeleri otomatik olarak yüklemesine rağmen, kullanıcılara Firefox 67.0.4 veya sonraki sürümlerini çalıştırdıklarından emin olmalarını söyledi.

macos
Yeni Keşfedilen Mac Zararlı Yazılımı, Apple’ın Patchlemediği GateKeeper Bypass Bug’ını Kullanarak RCE Zafiyetine Yol Açıyor

Intego’lu siber güvenlik araştırmacıları, Apple’ın macOS Gatekeeper güvenlik özelliklerinde bulunan yamalanmamış güvenlik zafiyeti olabileceğini ve buna karşı çok dikkatli olmak gerektiğini söylemektedir.

Geçtiğimiz hafta Intego ekibi, VirusTotal’da, kullanıcıların herhangi bir uyarı göstermeden hatta açık bir şekilde izin almadan, güvenilmeyen bir kod çalıştırmak için GateKeeper güvenlik açığını atlatabilen dört yeni macOS malware örneği keşfetti.

Bununla birlikte, OSX / Linker adlı yeni keşfedilen zararlı yazılım, herhangi bir saldırı ortamında henüz görülmedi. Örnekler, yamalanmamış Gatekeeper bypass kusurundan yararlansa da, saldırganın sunucusundan kötü amaçlı bir uygulama indirmemektedir.

Intego’dan Joshua Long’a göre, geçen haftaya kadar “kötü amaçlı yazılım üreticisi yalnızca bazı tespit testleri yapıyordu.” Ancak zafiyet patchlenmediği sürece her an saldırı ihtimali var. Uzmanlar tarafından buna karşı dikkatli olunması uyarısı yapılmaktadır.

dell
Önceden Yüklenmiş Dell Destek Yazılımındaki Güvenlik Hatası Milyonlarca Dell Bilgisayar Kullanıcısını Etkiliyor

Araştırmacılar Dell’in milyonlarca Dell dizüstü ve PC’sine önceden yüklenmiş olarak gelen SupportAssist yardımcı programı, kötü amaçlı yazılımların veya oturum açmış kullanıcıların, yönetici düzeyindeki ayrıcalıklarını yönetici düzeyinde yükseltmesine ve hassas bilgilere erişmesine izin verebilecek bir güvenlik açığı içerdiğini tespit etmiştir. SafeBreach Labs’taki güvenlik araştırmacıları tarafından keşfedilen, CVE-2019-12280 olarak tanımlanan güvenlik açığı, bir ayrıcalık artırma sorunudur ve Dell’in iş bilgisayarları (sürüm 2.0) ve ev bilgisayarları (sürüm 3.2.1 ve önceki tüm sürümler) için SupportAssist uygulamasını etkilemiştir.

“Dell’in web sitesine göre, SupportAssist, Windows çalıştıran çoğu Dell aygıtına önceden yüklenmiştir. Bu, yazılım yamalanmadığı sürece, güvenlik açığının milyonlarca Dell PC kullanıcısını etkilediği anlamına gelir. Ayrıca araştırmacılar, Dell’in bilgisayarları bu özel güvenlik sorunundan etkilenen tek firma olmadığını düşünmektedir.

Dell SupportAssist, Nevada tabanlı tanılama ve müşteri destek firması PC-Doctor tarafından yazıldığından ve sürdürüldüğünden, aynı tanı ve sorun giderme araçlarını farklı adlara sahip kendi bilgisayarlarına bağlayan diğer bilgisayar üreticileri de savunmasız kalabilirler. SafeBreach Labs, “ayrıntıları Dell’e gönderdikten sonra, bu güvenlik açığının Windows yazılım bileşenleri için PC-Doctor Araç Kutusu’nu yeniden markalandırılmış bir sürümünü kullanan ek OEM’leri etkilediğini keşfettik” demiştir.

Dell’in SupportAssist yazılımı, düşük seviyeli bellek ve donanıma erişmek için PC-Doctor tarafından imzalı bir sürücü kullandığından, araştırmacılar keyfi bir fiziksel bellek adresinin içeriğini konsept kanıtı olarak okumak için bu güvenlik açığını göstermiştir. SafeBreach Labs, 29 Nisan 2019’da Dell’e karşı güvenlik açığını bildirmiştir ardından şirket, sorunu PC Doktor’a bildirmiştir ve etkilenen SupportAssist sürümleri için 28 Mayıs’ta PC-Doctor tarafından sağlanan düzeltmeleri yayınlamıştır.

Dell SupportAssist ilk kez ciddi bir güvenlik açığından etkilenmemiştir. Bu yılın nisan ayında, saldırganlar uzaktan Dell’e saldırmış ve etkilenen Dell bilgisayarlarına uzak bir sunucudan kötü amaçlı yazılım indirmiştir etkilenen Dell bilgisayarlarda kötü amaçlı yazılımların yüklenmelerini sağlayan kritik bir uzaktan kod yürütme güvenlik açığı da vermiştir.

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.