Haftanın Önemli Gelişmeleri – 52. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

O-Day_Windows
Windows İçin Yayınlanan 0-Day ile Sistemdeki Tüm Dosyalar Okunabiliyor

Sandbox Escaper isimli güvenlik araştırmacısı MsiAdvertiseProduct fonksiyonundaki hatadan yararlanarak kullanıcının okuma yetkisi bulunmayan dosyaları okuyabilmesini sağlayan bir 0-Day yayınladı.

Zafiyet yüklenen programı Windows’a tanıtmayı sağlayan MsiAdvertiseProduct adlı fonksiyonun yüklenme sırasında dosyaları kopyalamasından kaynaklanmaktadır. Fonksiyon normalde çağrıldığı işlemin yetkisini kontrol etmekte ancak bu kontrolde hata bulunduğundan dosyalara SYSTEM yetkisi ile erişim sağlanmaktadır.

Yayınlanan 0-Day şuan Windows 7 ve üstündeki tüm Windows tabanlı işletim sistemlerinde çalışmaktadır. 0-Day’in nasıl çalıştığını gösteren bir video da yayınlayan SandboxEscaper’ın zafiyet kodlarını yayınladığı GitHub hesabı kapatıldı. Bir gün boyunca kapalı kalan hesap yapılan itirazlar nedeniyle tekrar aktif hale getirildi.

Son dört ay içinde Windows için üç farklı 0-Day yayınlayan Sandbox Escaper’a FBI tarafından soruşturma başlatıldı. Araştırmacının daha önce yayınladığı 0-Day’lerin zararlı yazılımlar tarafından aktif olarak kullanıldığı belirtildi.

Mirai Botnet
ThinkPHP Exploiti Yeni Mirai Yazılımlarına Sebep Oluyor

Akıllı cihazlar gündelik hayatımıza girdikçe bu cihazlardaki güvenlik zafiyetlerini de daha sık duymaya başlamaktayız. Bu akıllı cihazlardaki güvenlik zafiyetlerinin istismar edilmesi kullanıcılar için önemli bir sorundur. Bilinen en tehlikeli IoT tehdidi olan Mirai, zayıf kimlik bilgileri olan cihazları istismar ederek ele geçiren ve sürekli olarak geliştirilen bir zararlı yazılımdır.

2016 yılında kaynak kodunun sızdırılmasından sonra farklı Mirai türevleri de ortaya çıkmaya başladı. Bu sebeple PHP tarafında da, ThinkPHP’deki bir uzaktan kod çalıştırma (RCE) güvenlik zafiyeti ile yayılan “Miori” adlı başka bir Mirai türü ortaya çıkarıldı. Trend Micro ekipleri tarafından bulunan güvenlik açığının istismarı ise diğer istismarlara göre farklı ve yeni tekniklere sahiptir. Miori zararlı yazılımı ilk olarak 11 Aralık’ta farkedilirken, ThinkPHP’nin 5.0.23 ve 5.1.31’den önceki sürümlerini etkilemektedir.

Miori dışında, IZ1H9 ve APEP gibi bilinen birkaç Mirai çeşidi de aynı istismar şeklini kullanarak sistemlere girmektedir. Yukarıda belirtilen çeşitlerin tümü, kaba kuvvet saldırıları ile başka cihazlara da sızmak için Telneti ve varsayılan kimlik bilgilerini kullanmaktadır. Bu Mirai çeşitlerinden herhangi biri bir Linux makinesi ile etkileşime geçtiğinde, DDoS saldırılarını kolaylaştıran bir botnetin parçası haline gelmektedir.

Telnetin varsayılan kimlik bilgilerini kullanarak kaba kuvvet saldırısı yapmak yeni bir yöntem olmazken birçok kullanıcının bunu umursamaması veya değiştirmeyi unutabilmesinden dolayı hala aynı teknik sonuç vermektedir. Bu nedenle kullanıcıların bu kimlik bilgilerini değiştirmeleri tavsiye edilmektedir. Aynı zamanda akıllı cihaz kullanıcıları, cihazlarını düzenli olarak en son sürümlerine güncellemelidir.

huawei
Huawei Yönlendiricilerdeki Zafiyet , Varsayılan Kimlik Bilgilerini Sızdırıyor

Servis sağlayıcı hizmetleri için kullanılan Huawei yönlendiricisindeki güvenlik zafiyeti, saldırganların cihazlara bağlanmadan cihazların varsayılan kimlik bilgilerini öğrenebilmelerini sağlamaktadır.

CVE-2018-7900 adıyla çıkan güvenlik zaafiyeti, yönlendirici panelinde bulunmaktadır ve kimlik bilgilerinin sızmasına neden olmaktadır. Saldırgan, yönlendirici paneline sızdığı için yönlendirici cihaza bağlanmaya gerek kalmadan varsayılan kimlik bilgilerine sahip olup olmadığını kolayca bulabilmektedir.

Zafiyetti araştırma sırasında, giriş sayfasının HTML kaynak koduna bakıldığında, bazı özel değişkenlerin ortaya çıktığı fark edildi. Koddaki değişkenlerden birininin özel bir karakter içerdiği görüldü ve bu karakter, cihazın varsayılan parolaya sahip olup olmadığını belirttiği anlaşıldı. Saldırgan, başarısız bir giriş yapmasına ya da balküpüyle (honeypot) uğraşması gerekmeden sadece ZoomEye gibi dork kullanarak, cihaz listelerini bulabilmekte, cihazlara giriş yapabilmekte ve kolayca cihazda istediklerini yapabilmektedir.

NewSky Security, zafiyetin kesin ayrıntılarını, bu zaafiyetten etkilenen cihazların sayısını ve türünü açıklamayacağını bildirdi.

twitter
Twitter, Devlet Destekli Veri Sızıntısı Yaşadı

Twitter, devlet bağlantılı olduğuna inandığı şüpheli bir veri sızıntısı olayıyla karşı karşıya kaldı. Pazartesi günü yayınlanan blog yazısında Twitter, destek formlarında bulunan bir güvenlik zafiyetinden dolayı veri sızıntısının yaşandığını belirtirken, kullanıcıların bilgilerine erişilebildiğini doğruladı. Söz konusu zafiyetli destek formu, hesap sahipleri tarafından hesaplarıyla ilgili sorunlar hakkında Twitter ile iletişim kurmak için kullanılmaktadır. Kasım ayının ortalarında keşfedilen destek formu API hatası, kullanıcıların Twitter hesaplarıyla ilişkili telefon numaraları, ülke kodları gibi hassas verileri içeren önemli ölçüde kişisel bilgileri ortaya çıkardı.

Twitter, “Araştırmalarımız sırasında, zafiyetli müşteri destek formu API’sini ilgilendiren sıradışı hareketler gördük. Özellikle, Çin ve Suudi Arabistan’da bulunan IP adreslerinden gelen çok sayıda soru gözlemledik.” şeklinde açıklamada bulundu. Twitter son olarak, bu sorunu çözdüğünü ve kullanıcıların herhangi bir işlem yapmasının gerekmediğini belirtti.

Fortnite
Fortnite Genç Hackerlara Binlerce Pound Kazandırıyor

18 yaşından küçük milyonlarca çocuk, popüler video oyunu Fortnite’nin etrafında kurulmuş küresel bilgisayar korsanlığı ağının bir parçası olarak haftada binlerce sterlin harcamaktadır.

Fortnite her ne kadar oynaması ücretsiz bir oyun olsa da oyun içerisindeki karakter kişiselleştirme paketlerine harcanan toplam paranın 1 milyar sterline ulaştığı açıklandı.

Geçtiğimiz günlerde 20 hacker BBC’ye oyuncuların özel oyun hesaplarını çaldıklarını ve çevrimiçi sattıklarını itiraf etti. Bu kötü niyetli saldırganlar, içerisinde ücretli paketler bulunan hesapları ele geçirmekte ve bu paketleri oyun mağazasındaki fiyatlara oranla çok daha ucuza satmaktadır.

Fortnite yayın hakları sahibi olan Epic, konu hakkında yorum yapmaktan kaçındı ancak hesap güvenliğini artırmak için çalıştıklarını söyledi.

Fortnite oyunundaki güvenlik açıkları ilk olarak Mart’ta Epic’e sunuldu ve şirket bu konu ile ilgileneceklerini açıkladı. Hackerlar, oyuncular kendi hesaplarına iki faktörlü kimlik doğrulama eklerlerse bir hesaba erişimlerinin çok zor olduğunu söylüyorlar. Eğer siz de bu oyunu oynayan birisiyseniz, hesabınızda iki faktörlü kimlik doğrulaması gibi özellikleri etkinleştirmenizi öneririz.