Haftanın Önemli Gelişmeleri – 33. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

google-project-zero
Google, Windows’un Tüm Sürümlerini Etkileyen 20 Yıllık Güvenlik Zafiyetini Açıkladı

Google güvenlik ekibinden bir araştırmacı, Windows XP’den başlayarak en son sürüm olan Windows 10’a kadar ki bütün Windows sürümlerini etkileyen ve 20 yıldır işletim sistemlerinde iz bırakmayan yüksek dereceli güvenlik zafiyetini ayrıntıları ile açıkladı.

Güvenlik zafiyeti, MSCTF istemcileri ve sunucusunun birbiriyle iletişim kurma biçiminde bulunan bir hatadan dolayı ortaya çıkmaktadır. Bu da düşük yetkili ya da korumalı olan alandaki bir uygulamanın daha yüksek ayrıcalıklı bir uygulamanın verilerini okuma ve yazma izni vermektedir. MSCTF, Windows işletim sisteminin Metin Hizmetleri Çerçevesinde (TSF) giriş yöntemleri, klavye düzenleri, metin işleme ve konuşma tanıma gibi işlerini yöneten bir modüldür. Özetle, Windows makinenize giriş yaptığınızda, tüm istemciler arasındaki iletişimi sağlamak için merkezi bir otorite olarak çalışan CTF monitör hizmetini başlatır.

Google’ın Proje Sıfır Ekibinden Tavis Ormandy, bu etkileşim için erişim kontrolü veya herhangi bir kimlik doğrulaması bulunmadığından herhangi bir uygulama, herhangi bir kullanıcı ve hatta sanal alan işlemlerinin yapılabileceğini keşfetti. Ormandy’nin yaptığı açıklamaya göre, CTF oturumuna bağlanmak, herhangi bir pencerenin metnini başka bir oturumdan okumak ve yazmak, iş parçacığı kimliği, işlem kimliği ve HWND’yi taklit etmek ve CTF servisi gibi davranarak diğer uygulamaları kandırma gibi işlemler yapılabilecek işlemlerin sadece bir kaçıdır.

İstenirse, CTF protokolündeki zayıflık, saldırganların Kullanıcı Arabirimi Ayrıcalık İzolasyonunu (UIPI) kolayca atlamasına izin vererek ayrıcalıklı olmayan bir işlemi bile yapabilmelerini sağlamaktadır. Bu işlemleri, iletişim kutusundaki şifreler de dahil olmak üzere diğer uygulamaların herhangi bir penceresinden hassas metni okumak, sistem imtiyazlarını kazanmak, UAC onay iletişim kutusunu kontrol altına almak, yöneticinin konsol oturumuna komut göndermek veya kutusuz pencerelere girdi göndermek gibi işlemlerdir. Ormandy, sorunun Windows 10’da sistem ayrıcalıkları elde etmek için nasıl kullanılabileceğini gösteren bir kanıt kanıtı videosu da yayınladı. Bunun yanı sıra, CTF protokolünün araştırmacıya göre varsayılan bir konfigürasyonda kullanılabilecek bir çok bellek bozulması kusurunu da içerdiği bildirilmektedir. Ormandy, bu yılın Mayıs ayı ortalarında bulgularını Microsoft’a sorumlu bir şekilde bildirdi ve Microsoft’a, bildirimden 90 gün sonra bugün ayrıntıları kamuoyuna sundu.

rdp
Microsoft, Windows RDP Zafiyetlerine Yenisini Ekledi

Windows işletim sistemlerinin uzak masaüstü protokolünde (RDP) daha önce Mayıs ayında güvenlik yaması yayınlanan CVE-2019-0708 kodlu ve BlueKeep adı verilen güvenlik açığına benzer, kritik seviyede dört yeni uzaktan kod çalıştırma zafiyeti keşfedildi.

Microsoft, Windows kullanıcılarını zafiyetin “wormable” olduğu konusunda uyardı. Wormable, RDP zafiyetli bir Windows sistemin saldırganlar tarafından oluşturulan zararlı yazılımı kullanıcı etkileşimine ihtiyaç duymadan yayabileceği anlamına gelmektedir.

Windows Server 2012, Windows 8.1, Windows Server 2012 R2 ve Windows 10 sistemlerinin tespit edilen güvenlik zafiyetlerinden etkilendiği paylaşıldı. Hedeflenen sistemlere RDP üzerinden özel olarak hazırlanmış istekler gönderilerek, kimlik doğrulaması yapılmamış uzaktaki saldırganlar tarafından zafiyet sömürülmektedir.

RDS (Uzak Masaüstü Hizmetleri), kullanıcıların uzak bir bilgisayar veya sanal makineyi ağ bağlantısı üzerinden kontrol etmelerini sağlayan Windows bileşenine denir. Microsoft, RDS paketlerinin güvenlik sıkılaştırmasını ve iyileştirmesini yaptığı sırada tespit ettiği CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 ve CVE-2019-1226 kodlu güvenlik zafiyetleriyle ilgili sistem güncellemelerini Windows kullanıcılarıyla paylaştı.

Siber saldırılara mümkün olduğunca fırsat vermemek ve işletim sisteminin güvenliğini artırmak için Windows Ağustos güncellemelerini en kısa zamanda yüklemenizi öneririz.

mobile malware
Cerberus: Yeni Android Kiralık Bankacılık Zararlı Yazılımı

Anubis, Red Alert 2.0, GM bot ve Exobot gibi bir kaç popüler Android zararlı yazılımının ardından, İnternet’teki boşluğu doldurmak için benzer yeteneklerle yeni bir oyuncu ortaya çıktı. Yeni çıkan bu oyuncu, Android bot kiralama hizmeti sunmaktadır.

“Cerberus” olarak adlandırılan yeni uzaktan erişim zararlı yazılım, saldırganların virüslü Android cihazlar üzerinde tam kontrol sahibi olmalarına izin vermektedir. Aynı zamanda zararlı yazılımda çeşitli saldırılarının kullanımında, SMS kontrolü ve irtibat listesi toplama gibi bankacılık Trojan yetenekleriyle de bulunmaktadır. Twitter’da şaşırtıcı bir şekilde sosyal olan ve virüsten koruma endüstrisi ile açıkça alay eden bu zararlı yazılımın programcısına göre, Cerberus sıfırdan kodlandı ve mevcut diğer bankacılık truva atlarından gelen herhangi bir kodu tekrar kullanmamaktadır.

Bir Cerberus Trojan örneğini analiz eden Threat Fabric’teki güvenlik araştırmacılarına göre, zararlı yazılımın oldukça yaygın bir özellik listesi vardır. Cerberus Trojanının, ekran görüntüsü alma ses kaydı, keylogları kaydetme, SMS gönderme, SMS alma ve SMS silme, irtibat listelerini çalma, arama yönlendirme, konum takibi, hesap bilgilerini çalmak, Play Protect’i devre dışı bırakma, ek uygulamalar ve yüklerin indirilmesi, virüslü cihazdan uygulamaları kaldırma, cihazın ekranını kilitleme gibi bir çok özelliği bulunmaktadır. Virüs sistemem bulaştıktan sonra, Cerberus ilk önce simgesini uygulama çekmecesinden gizler ve daha sonra Flash Player Hizmeti olarak gizlenerek erişilebilirlik izni ister. İstenen izinler verilirse, zararlı yazılım otomatik olarak tehlikeye atılan cihazı kendi kontrol sunucusuna kaydederek alıcı/saldırganın cihazının uzaktan kontrol edilmesi sağlanır.

Cerberus zararlı yazılımının, ilk önce hedeflenen bir cihaza otomatik olarak yüklenmek için herhangi bir güvenlik açığından yararlanmadığı belirtilmelidir. Bunun yerine, zararlı yazılımın yüklenmesi sosyal mühendislik taktiklerine dayanmaktadır. Bu nedenle, kendinizi bu tür zararlı yazılım tehditlerine kurban olmaktan korumak için, telefonunuzda indirdiklerinize dikkat etmeniz ve kesinlikle yan yüklemeden önce üç kez düşünmeniz önerilmektedir.

microsoft
Microsoft Sertifikalı Sürücü Yazılımları Güvenlik Riski Oluşturuyor

Eclypsium şirketindeki siber güvenlik araştırmacıları 20 farklı teknoloji şirketinin satışını yaptığı 40’tan fazla Microsoft sertifikalı sürücü yazılımlarında, saldırganların sömürebileceği kritik güvenlik açıkları tespit etti.

Firmware güncellemek, arıza teşhisi yapmak veya sistem bileşenlerinin seçeneklerini özelleştirmek amacıyla sistem BIOS’una erişim sağlayan zafiyetli sürücüler, saldırganların sistemi sömürmesine izin vermektedir. Zafiyetli bir sürücü yazılımı yüklü olduğu sistemde kullanıcı ayrıcalıklarıyla çalışan bir uygulamanın çekirdek ayrıcalığıyla çalışmasına neden oluyor ve sürücünün işlevini sisteme zarar verecek şekilde kullanabiliyor.

Sistemdeki firmware üzerine (örneğin UEFI’ye) kalıcı olarak bulaşan LoJax adındaki zararlı yazılımının etkileri bu konuda önem taşımaktadır. LoJax zararlı yazılımı bulaşan bir sistem tamamen yeniden yüklendiğinde bile siber saldırılara karşı zafiyet barındırmaktadır. Bu nedenle oluşan güvenlik sorunu zafiyetli sistem yazılımının dışına çıkarak aygıt bileşenlerine kadar uzanmaktadır. Zafiyetli bazı sürücüler grafik kartları, ağ bağdaştırıcıları, sabit sürücüler ve diğer cihazlarla etkileşime girmektedir. Bu cihazlarda bulunan zararlı yazılım depolanan, görüntülenen veya ağ üzerinden gönderilen verileri okuyabiliyor, yazabiliyor veya yönlendirebiliyor.

Güvenlik riski oluşturan sürücü yazılımlarının Toshiba, ASUS, NVIDIA ve Intel’den ürünler de dahil olmak üzere çeşitli aygıtlarda keşfedildiğini ve keşfedilen açıkların kara listeye (black-listing) alınarak Microsoft’un bu güvenlik açıklarına karşı daha iyi korunması gerektiği Eclypsium firması tarafından tavsiye edilmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri