Haftanın Önemli Gelişmeleri – 53. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

google chrome
Google Chrome’daki Kritik Hata

Google Chrome tarayıcılarında Magellan 2.0 olarak adlandırılan RCE zafiyeti tespit edildi. Google Chrome’daki RCE zafiyetini tetikleyen 5 farklı SQLite zafiyetleri paylaşıldı. Güvenlik açıkları, Tencent Blade güvenlik ekibinden araştırmacılar tarafından tespit edildi ve zafiyetin Chrome tarayıcılarda varsayılan olarak etkin olan WebSQL API ile ilgili olduğu aktarıldı.

Tencent Blade güvenlik ekibi yaklaşık 1 yıl önce yine SQLite veritabanı uygulamasında milyarlarca bilgisayarı etkileyen kritik bir güvenlik açığı bulmuştu.

Zararlı kod içeren SQL komutlarının veritabanına gönderildiğinde, istenilen komutların rastgele çalıştırılabildiği tespit edilmiştir. SQLite, diğer birçok veritabanı yönetim sisteminden farklı olarak bir istemci-sunucu mantığıyla çalışmayıp, gömülü olarak işlemektedir ve bu da var olan açığı daha kritik hale getirmektedir.

CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753 kodlarıyla paylaşılan zafiyetlerin uzaktan kod yürütülmesine neden olabileceği, program belleğine sızabileceği veya program çökmelerine neden olabileceği tespit edilmiştir. Yayınlanan Google Chrome 79.0.3945.79 sürümüyle birlikte Magellan 2.0 güvenlik zafiyetinin giderildiği açıklanmıştır.
Güvenlik Açıkları Zaman Çizelgesi

  • 16 Kasım 2019: Google ve SQLite’a bildirildi.
  • 16 Kasım 2019: Zafiyetler Google tarafından onaylandı
  • 27 Kas 2019: Tencent Blade Team, Google’a bir fuzzer yayınlandı.
  • 11 Ara 2019: Google, resmi Chrome sürümünü 79.0.3945.79 yayınlandı.
  • 11 Ara 2019: CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753 kodlarıyla birlikte zafiyetler paylaşıldı.
shipping malware
GozNym Zararlı Yazılımının Arkasındaki Güçler Tespit Edildi

ABD Adalet Departmanı, öncelikle ABD iş ve finans kurumları olmak üzere birçok kuruma karşı milyonlarca dolarlık hırsızlıkla bilinen uluslararası organize bir siber suç grubunun üç üyesinin hapse mahkum edildiği yönünde açıklamada bulundu.

Suçluların GozNym zararlı yazılımını, 2015 ve 2016 yılları arasında başta Amerika Birleşik Devletleri ve Avrupa’da olmak üzere küresel olarak 4.000’den fazla kurban bilgisayarına girmek için kullandıkları ve dolandırıcılıkla bankacılık hesaplarından yaklaşık 100 milyon dolar çaldıkları belirtilmektedir.

2019 yılının Mayıs ayında Europol, GozNym’in arkasındaki siber suç ağını çözerken, Amerika Birleşik Devletleri’nin, GozNym’in geliştiricisi de dahil olmak üzere grubun beş üyesini tutukladığı belirtilmektedir.

Grubun üyelerinden biri olan 47 yaşındaki Krasimir Nikolov, Bulgar makamları tarafından Eylül 2016’da tutuklanmış ve suçlu Aralık 2016’da Pittsburgh’a komplo, bilgisayar sahtekarlığı ve banka sahtekarlığı suçlamasıyla karşı karşıya bırakılmıştır.

20.12.2019 cuma günü Krasimir Nikolov’in, Pittsburgh’daki bir federal mahkemede, programdaki “hesap devralma uzmanı” rolünden ötürü 39 aydan fazla hapis cezasına çarptırıldığı ve ardından Bulgaristan’a transfer edildiği belirtilmektedir.

DoJ (Amerika Birleşik Devletleri Adalet Bakanlığı), “Nikolov, GozNym zararlı yazılımı tarafından mağdur olan kurbanların çalınan çevrimiçi bankacılık kimlik bilgilerini kurbanların çevrimiçi banka hesaplarına erişmek ve kurbanların parasını komplocular tarafından kontrol edilen banka hesaplarına elektronik transferler yoluyla çalmak için kullandı.” şeklinde bir açıklama yapmıştır.

Gürcistan’da tutuklanan GozNym grubunun diğer iki üyesi (Alexander Konovolov ve Marat Kazandjian) Cuma günü gerçekleşen mahkemede yedi yıl hapis cezasına çarptırıldı.

Acer ve Asus Bilgisayarlardaki Kritik Zafiyet
Acer ve Asus Bilgisayarlardaki Kritik Zafiyet

SafeBreach güvenlik araştırmacıları, Acer ve Asus bilgisayarlara varsayılan olarak gelen yazılımlarda hak yükseltme ve rastgele kod yürütülmesine neden olabilecek zafiyetler tespit etti.

Tespit edilen zafiyetlerden birisi, kullanıcıların kablosuz aygıtları açıp kapatmasına, USB şarj ayarlarını ve ağ paylaşım seçeneklerini değiştirmesine ve çok daha fazlasına izin veren bir uygulama olan Acer Quick Access’den kaynaklanmaktadır. Yazılımın bir kısmının SYSTEM ayrıcalıklarıyla çalıştığı ve eksik DLL dosyasının yönetici ayrıcalıklarına sahip bir saldırgan tarafından yüklenebileceği tespit edilmiştir.

Sistem tarafından imzalanmış hizmetler kullanılarak saldırganlar bu güvenlik açığını kalıcılık sağlayabilmek için sömürebilmektedir.

Acer’e bildirilen ve CVE-2019-18670 koduyla paylaşılan güvenlik açığı, Acer Quick Access 2.01.3028 ve 3.00.3009 sürümleri için giderilmiştir.

ASUS ATK yazılımı üzerinde tespit edilen bir başka zafiyette ise, başarılı bir siber saldırı sonucunda saldırganların sistemde hak yükselterek kalıcılık sağlayabileceği tespit edilmiştir. SYSTEM ayrıcalıklarıyla çalışan bir işlem olan ASLDR Hizmet (AsLdrSrv.exe) dosyasının yüklenmesi sırasında saldırganların yüklediği zararlı kod ile sistemde hak yükseltilebileceği tespit edilmiştir.

CVE-2019-19235 koduyla paylaşılan güvenlik zafiyetinin ASUS ATK Package 1.0.0060 sürümünü ve önceki tüm sürümleri etkilediği tespit edilmiştir. Yayınlanan ATK Package 1.0.0061 sürümüyle birlikte bu zafiyetlerin giderildiği açıklanmıştır.

Twitter CEO’su Hacklendi ve SMS Tweet Özelliği Devre Dışı Bırakıldı
Android Telefon Kullanıcıları İçin Twitter Uygulaması Hedef Alındı

Android cihazlarda en fazla kullanılan uygulamalardan olan Twitter’ı hedef alan saldırganların kullanıcıların özel hesap bilgilerini görmesine veya hesaplarını kontrol etmesine izin verebilecek bir güvenlik açığını giderdiğini açıkladı. Bilgisayar korsanlarının kullanıcıların doğrudan mesajlarına, korumalı tweetlerine ve konum bilgilerine erişmek için uygulamanın kısıtlı depolama alanını hedef alarak zararlı kodlar ekleyebildikleri tespit edildi.

Twitter ise, “Uygulamaya zararlı kodun yerleştirildiğine veya bu güvenlik açığından yararlanıldığına dair bir kanıtımız yok ancak tamamen emin olamıyoruz. Bu yüzden çok dikkat ediyoruz.” açıklamasını yaparak bir siber saldırı olduğu konusunda net bilgiler vermemiştir.

Twitter, güvenlik zafiyetlerinden etkilenebilecek kullanıcıları uygulama üzerinden veya e-posta yoluyla doğrudan bilgilendirmektedir. Aksiyon almak isteyen kullanıcıların, Android için Twitter’ın en son sürümüne güncelleme yapmaları önerilmektedir. İOS sürümlerinin ise bu açıktan etkilenmediği açıklanmıştır.

Küresel Ticaret Şirketinde Veri Sızıntısı
Küresel Ticaret Şirketinde Veri Sızıntısı

Philadelphia merkezli gaz ve market zinciri olan Wawa, Mart 2019’dan sonra 850 mağazasından birinde, binlerce müşterinin ödeme kartı bilgilerini açığa çıkaran bir veri sızıntısı olayının yaşandığını açıklamıştır.

Şirketin web sitesinde yayınlanan basın açıklamasına göre, saldırganların 4 Mart’ta müşterilerinin ödemelerini gerçekleştirdiği sunuculara zararlı yazılım yükledikleri ve Wawa güvenlik ekibi tarafından fark edildiğinde ise zararlı yazılımın neredeyse tüm Wawa mağaza içi ödeme sistemine bulaşmış olduğu tespit edilmiştir.

Saldırganların zararlı yazılımı bulaştırdıkları sunucuların tamamen temizlenmesi için geçen sürede Wawa müşterilerinin kart bilgilerinin çalındığını açıklamıştır.

Zararlı yazılımın, müşterilerin ödeme yapmak için kullandıkları banka kartlarının numarası, kredi kartlarının numarası, son kullanma tarihleri ve müşterilerin adları dahil birçok bilgiyi çaldığı tespit edildi. Şirket, kart PIN’leri, kredi kartı CVV2 numaraları, iki aşamalı doğrulama için kullanılan diğer kimlik bilgileri ve kişisel bilgilerin bu zararlı yazılımdan etkilenmediğini belirtmiştir.

Wawa, ATM makinelerinin PoS kötü amaçlı yazılımından etkilenmediğini ve veri sızıntısının açıklandığı sırada, herhangi bir ödeme kartı bilgisinin yetkisiz kullanımının tespit edilmediğini açıklamıştır.

Wawa veri sızıntısından sonra şirketin bilgi güvenliği ekibi ve önde gelen bir dış adli bilişim firmasıyla olayı araştırmak ve sızıntının kapsamını doğrulamak için bir soruşturma başlatmıştır.

Wawa ayrıca devam eden soruşturma için kolluk kuvvetlerini ve ilgili bankaları olay hakkında bilgilendirmiştir. Bu yıl Mart ayından bu yana Wawa marketlerinden herhangi bir şey satın alan müşterilerin ödeme kartı ekstrelerini dikkatle izlemeleri ve bilgilerini güncellemeleri gerektiğini açıklamıştır.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri