Haftanın Önemli Gelişmeleri – 35. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

camscanner
CamScanner Android Uygulamasında 100 Milyon Kullanıcıyı Etkileyen Zararlı Yazılım Bulundu

Google Play Store’da 100 milyondan fazla indirilen, popüler telefon PDF oluşturma uygulaması olan CamScanner’ın ücretsiz sürümünü kullanıyorsanız, Android cihazınızı uzaktan ele geçirebilir ve üzerinde depolanan verileri çalınabilir. Son yapılan açıklamaya göre Play Store’dan kaldırılan uygulama eğer telefonunuzda yüklü ise kaldırmanız gerekmektedir.

Siber güvenlik araştırmacıları uygulama içinde gizli bir Trojan Dropper modülü buldular. Bu modül, saldırganların, kullanıcıların Android cihazlarına zararlı program kurabilmelerini sağlamaktadır. Ancak, zararlı modül aslında CamScanner Android uygulamasının kaynak kodunda bulunmamaktadır. Bunun yerine, son zamanlarda PDF oluşturucu uygulamasında tanıtılan 3. taraf reklam kütüphanesinin bir parçasıdır. Kaspersky güvenlik araştırmacıları tarafından keşfedilen modül, birçok CamScanner kullanıcısının şüpheli davranışları tespit etmesi ve son birkaç ay içerisinde Google Play Store’da olumsuz eleştiriler yayınlaması üzerine ortaya çıktı. Araştırmacılar yaptıkları açıklamada, “Bu zararlı yazılımın eklenmesinin nedeni, uygulama geliştiricilerin zararlı bir reklam verenle olan ortaklıklarından dolayı olabilir.” dedi.

Araştırmacılar, “Modül, uygulamanın kaynaklarında bulunan şifreli bir dosyadan başka bir zararlı modülü çıkarıyor ve çalıştırıyor. Sonuç olarak, modülün sahipleri, uygulamada reklam göstermekten, mobil hesaplarından para çalmaya kadar, uygun gördükleri virüsü cihaza ekleyebilirler.” şekilnde belirttiler. Kaspersky araştırmacıları, Google’a, CamScanner uygulamasının zararlı modülleri ile ilgili rapor sundu ve Play Store’dan kaldırılmasını istedi.

CamScanner uygulamasının ücretli sürümünde 3. taraf reklam kütüphanesi ve dolayısıyla zararlı modül bulunmadığından dolayı ücretli uygulama Google Play Store’da hala bulunmaktadır.

Son olarak Android cihazınızda, cihazınıza bulaşmadan önce bu tür zararlı etkinlikleri tespit edip engelleyebilecek iyi bir virüs koruma uygulaması bulundurmanız önemle tavsiye edilmektedir.

bitdefender
Bitdefender Antivirüs Yazılımında Kritik Güvenlik Açığı

Kullanılan antivirüs yazılımları siber saldırılara karşı koruma sağlasa da diğer tüm yazılımlar gibi güvenlik zafiyetlerinden etkilenmektedir. Siber güvenlik araştırmacıları ücretsiz sağlanan Bitdefender Antivirüs 2020’de kritik bir güvenlik açığı tespit etti. Zafiyetin istismar edilmesiyle bir saldırgan yetki yükseltmeyi tetikleyen imzasız DLL dosyasıyla kod çalıştırabilmektedir. Bitdefender yazılımında Kod Koruma Bütünlüğünün (CIG) bulunmamasından dolayı bu zafiyetin ortaya çıktığı paylaşıldı.

Bitdefender, Windows işletim sistemlerinde yazılımın tüm sisteme yetkili bir şekilde erişmesini sağlayan “NT AUTHORITY / SYSTEM” hizmeti seviyesinde çalıştırılmaktadır. Bu nedenle saldırganların hedeflerini istismar etmek için kullanacağı imzasız DLL dosyası sistemin bütünlüğü açısından çok ciddi risk doğurmaktadır.

CVE-2019-15295 koduyla yayınlanan güvenlik zafiyeti ile ilgili “Konsept Kanıtı (PoC)” açıklandı. Python programlama dili kullanılarak yazılan betik, yetkisiz erişilen dizinleri ve dosyaları “Erişim Kontrol Listesine (ACL)” yazdı. Kodlanan DLL dosyası herhangi bir dijital sertifika doğrulaması olmadan, sistem yüklemesi sırasında çalıştırılan “ServiceInstance.dll” gibi gösterildi ve işletim sisteminde kalıcılığı sağladı.

Romanya merkezli Softwin firması tarafından geliştirilen Bitdefender, 100’den fazla ülkede faaliyet gösteriyor. Ücretsiz olan Bitdefender Antivirüs 2020 için 1.0.15.138 sürümü yayınlandı ve tespit edilen güvenlik zafiyetinin yaması yapıldı. Bitdefender kullanıcılarının saldırganların hedefinde olmamaları için en güncel sürümü kullanmaları şiddetle tavsiye ediliyor.

hostinger
Hostinger Hacklendi

Hostinger şirketinin sunucularından birisine yetkisiz erişim yapıldı. Sunucuda bulunan erişim belirteci (access token) sayesinde kullanıcı adı ve parola kullanılmadan bir API veritabanı da dahil olmak üzere şirketin sistemlerine erişildi.

Şirketin kayıtlarına göre 29 milyondan fazla müşterisi bulunuyor. API veritabanında bulunan müşteri bilgileri, e-posta adresleri, kullanıcı adı ve parolaların SHA-1 algoritmasıyla saklandığı saldırganlar tarafından ifşa edildi. Hostinger, API veritabanında yaklaşık 14 milyon müşteri kaydının saklandığını söyledi ve saldırıdan sonra verileri SHA-2 fonksiyonuyla saklayacağını açıkladı.

Hostinger, müşterilerine e-posta göndererek etkilenen kullanıcıların parolalarını sıfırladı. E-posta içeriğinden gönderilen bağlantıyla, yeni parolalarını oluşturan kullanıcılar sisteme giriş yaptı. Finansal verilerin tehlikede olmadığı ve müşterilere ait web sitesi dosyalarının etkilenmediği aktarıldı. Ancak güvenlik açığından etkilenen bir Hostinger müşterisi, şirketin açıklamalarını “yanıltıcı” olarak değerlendirdi.

Oluşan güvenlik açığının nedenlerini araştırmak ve tüm Hostinger hizmetlerinin güvenlik sıkılaştırmaları için ekip kurulduğu ve çalışmalara başlandığı firma tarafından açıklandı. Müşteriler için, güçlü ve farklı hesaplarda kullanılmayan parola tercih etmeleri ek olarak da şüpheli e-postalardan gönderilen bağlantılardan uzak durmaları tavsiye edildi.

apple
Apple, iOS 12.4.1 ‘Jailbreak’ Zafiyetini Düzeltmek İçin Acil Güncelleme Yayınladı

Apple IOS 12.3’te bulunan kritik bir jailbreak güvenlik açığını gidermek için iOS 12.4.1’i piyasaya sürdü.

Bir hafta önce , “Pwn20wnd” çevrimiçi takma adını kullanan bir araştırmacı, Apple’ın Mayıs ayında yayınladığı iOS 12.3’teki bir çekirdek zafiyetinden(CVE-2019-8605) yararlanarak IOS 12.4 için ücretsiz bir jailbreak yayınladı. Apple şirketi ilk güncellemede zafiyeti kapatamadığı için 12.4.1 güncellemesi ile bu zafiyeti tamamen kapattığını bildirdi. 12.4 versiyonundaki zafiyetten iOS 12.4 veya iOS 12.2, Windows Vista işletim sistemli işletim sistemlerinde çalışan iPhone XS, XS Max ve XR veya 2019 iPad Mini ve iPad Air dahil olmak üzere güncellenmiş Apple aygıtları etkilendi.

Apple, yalnızca çekirdek zafiyeti için değil, bilgisayar korsanlarının veya zararlı uygulamaların, hedef Apple cihazlarında en yüksek yetkilerle, cihaz üzerinde rastgele kod çalıştırmalarına izin verebilecek başka bir güvenlik sorununu da düzeltmek amacıyla iOS 12.4.1’i yayımladı.

Jailbreaking, kullanıcıları korumak için yapılan bazı sistem korumalarını devre dışı bırakarak, kullanıcıları zararlı uygulamalara App Store’dan maruz bırakmaktadır. Aynı zamanda da onları potansiyel güvenlik risklerine karşı savunmasız bırakmaktadır.

IOS cihazınızı en kısa zamanda IOS 12.4.1 sürümüne güncellemeniz önerilmektedir. Güvenlik güncelleştirmesi notunda, güvenlik zafiyetini bularak şirkete bildiren Pwn20wnd adlı kullanıcıya, “Pwn20wnd @ Pwn20wnd’e yardımları için teşekkür ederiz” şeklinde teşekkür etti.

lenovo
Lenovo Bilgisayarlarda Kritik Zafiyet

Partners’taki güvenlik araştırmacıları, Lenovo Solution Center yazılımında bir hak yükselme zafiyeti buldular. Üstelik Lenovo Solution Center yazılımı, dünyanın önde gelen bilgisayar üretici firması olan Lenovo tarafından, milyonlarca PC’ye hazır kurulu gelmektedir.

Tespit edilen güvenlik açığı, hedeflenen bir sistemde rasgele kod yürütmek için kullanılmaktadır. Aynı zamanda yönetici veya system düzeyinde ayrıcalıklar sağlayan bir ayrıcalık yükseltme hatasıdır.

Pen Test Partners’daki araştırmacılar, “Zafiyetin kendisi, bir DACL (isteğe bağlı erişim kontrol listesi) üzerine yazılmaktadır. Yüksek derecede yetkileri bulunan bir kullanıcının açtığı dosyanın, yetkisiz bir kullanıcı tarafından değiştiribilmesine neden olmaktadır.” dedi.

Lenovo, bu hata hakkında bir güvenlik bülteni yayınladı ve kullanıcılara Lenovo Vantage adlı benzer bir yardımcı programa yükseltme yapmalarını önerdi. Araştırmacılar, “Lenovo süreci çalıştığında, düşük ayrıcalığa sahip kullanıcının normalde izin vermemesi gereken bir dosyanın tüm denetimini ele geçirmesine olanak tanır, sabit linkli dosyanın ayrıcalıklarını, izin verilen ayrıcalıklarla değiştirir” dedi.

Lenovo Solution Center yazılımı masaüstü ve dizüstü bilgisayar da dahil olmak üzere, Lenovo PC’lerin çoğuna önceden yüklenmiş olarak gelmektedir. Sorunlu sürüm, Lenovo’nun artık desteklemediğini söylediği 03.12.003. sürümdür. Lenovo’ya göre, yazılım ilk olarak 2011’de piyasaya sürüldü.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri