Geçtiğimiz Hafta Yaşanan Siber Güvenlik Olayları

Nisan 13, 2019

Hacker’lar Outlook E-posta Hesaplarına Erişmek İçin Microsoft Destek Ajanının (Microsoft Support Agent)  Zafiyetinden Faydalandı

Microsoft Outlook e-posta servisinde bir e-posta hesabınız varsa, hesap bilgilerinizin hacker grupları tarafından ele geçirilme olasılığı bulunmaktadır ve bu atağa yol açan zafiyet Microsoft tarafından kabul edildi.  Bu yılın başında hackerlar Microsoft’un müşteri destek portalının zafiyetinden faydalanarak Outlook servisine kayıtlı bazı e-posta hesaplarıyla ilgili bilgilere erişmeyi başardılar. Geçtiğimiz günlerde bir Outlook kullanıcısı Reddit yayınında Microsoft’tan Outlook hesabına yönelik bir güvenlik uyarı mesajı aldığı bilgisini paylaştı ve başka bir Outlook kullanıcısı da aynı uyarı mesajını aldığını belirtti. Olay bildirim mailinde saldırganın Microsoft müşteri destek temsilcilerinden birinin kullanıcı kimlik bilgilerini ele geçirerek etkileşimli e-posta hesaplarına erişmeye çalıştığını ancak Microsoft'un müşteri destek temsilcisinin görüntüleyebileceği bilgilerin sadece hesap e-posta adresleri, klasör adları, e-postaların konu satırları ve iletişim kurduğunuz diğer e-posta adreslerinin adı ile sınırlı olduğundan dolayı mail içerik ve eklerine erişemediği belirtilmekteydi.

Ele geçirilen temsilci kullanıcı kimlik bilgileri Microsoft tarafından iptal edildi. Etkilenen mail hesaplarına uyarı maili gönderildi ve kullanıcı bilgilerinin sıfırlanması önerildi. [1]

Nisan 10, 2019

WPA3 Protokolündeki Güvenlik Kusurları Saldırganların WiFi Parolasını Hacklemesine İzin Verdi

WPA, AES şifreleme standardının kullanılarak kablosuz cihazların kimlik bilgilerini doğrulamak için tasarlanmış ve kablosuzda var olan verilerinizin bilgisayar korsanları tarafından dinlenmesinin önüne geçmeyi amaçlayan bir protokoldür. WPA3; WPA2’nin sahip olduğu zafiyetler ve KRACK saldırısına karşı savunmasız olmasından dolayı geliştirilmiştir. WPA3; WI-FI ağlarının çevrimdışı sözlük saldırılarına karşı güvenli bir el sıkışma sağlayan Drangofly’i baz almaktadır. Güvenlik araştırmacıları buna rağmen, WPA3 ‘te güvenlik açıkları tespit etmiştir. WPA3’teki iki tip tasarım kusuru downgrade saldırısı ve yanal-kanal sızıntılarına yol açmıştır. WPA3 sertifikalı cihazlar, eski cihazları desteklemek için hem WPA3-SAE hem de WPA2 kullanarak bağlantıları kabul etmek üzere yapılandırılabilecek bir "geçiş modu" sunar. Geçiş modu; WPA3 destekli aygıtları güvensiz WPA2'nin 4’lü el sıkışmasını kullanarak bağlanmaya zorlayan, yalnızca WPA2'yi destekleyen ve WPA3 destekli cihazları zorlayan bir AP'yi kurmak amacıyla kötüye kullanabilecek downgrade saldırılarına karşı savunmasız kılmaktadır. Araştırmacılar ayrıca, Dragonfly’ın şifre kodlama yöntemine karşı, saldırganların Wi-Fi şifresini elde etmek için bir şifre bölümleme saldırısı gerçekleştirmesine izin verebilecek şekilde önbellek temelli (CVE-2019-9494) ve Zamanlama temelli (CVE-2019-9494) saldırılar gibi iki yan-kanal (side-channel) zafiyetini barındırdığını bildirmiştir. Bu zafiyetler ile WİFİ parolası ele geçirilebilir ve ağ verileri dinlenebilir.

Bu güvenlik açıkları hakkında daha fazla bilgiyi DragonBlood'a ait web sitesinde ve protokolde yapılacak küçük değişikliklerin araştırmacılar tarafından detaylandırılan birçok saldırıyı nasıl önleyebileceğini anlatan araştırma makalesinde [ PDF ] okuyabilirsiniz.  [2]

Nisan 10,  2019

Sofistike 'TajMahal APT Framework' 5 Yıl Boyunca Tespit Edilmedi

Güvenlik araştırmacıları geçtiğimiz günlerde en az 5 yıldan beri faaliyette olan ancak yakın zamana kadar tespit edilemeyen bir zararlı yazılım framework’un varlığını açıkladılar. Kaspersky Lab’daki araştırmacılar tarafından TajMahal olarak adlandırılan APT Framework, farklı casusluk operasyonları için çok sayıda zararlı eklenti ve daha önce görülmemiş benzersiz atak yöntemi içeren yüksek teknolojili, modüler tabanlı malware aracı olarak tanımlanmıştır. TajMahal saldırganlar tarafından bir Orta Asya ülkesine ait milliyet ve lokasyon bilgileri açıklanmayan diplomatik bir organizasyonun bilgisayarlarında casusluk amacıyla kullanıldı ve ilk olarak güvenlik araştırmacıları tarafından geçen yılın sonlarında tespit edildi, APT’nin en az Ağustos 2014 ‘ten beri aktif olduğu öne sürüldü. “Tokyo” ve “Yokohoma” gibi 80’den fazla kötü amaçlı modül içeriyor. Araştırmacılar henüz TajMahal’ın hedeflenen sisteme ilk olarak nasıl girdiğini tespit edebilmiş değil. Fakat erişimden sonra ilk aşamada Tokyo zararlısı hedeflenen makineye indirilir ve sonra işlevsel olan ikinci aşamada Yokohama zararlısı sisteme sunulur. Yokohama zararlısının modülleri, tuş vuruşlarını günlüğe kaydetme, Apple mobil cihazlarında yedekleme dahil tüm çerez verilerini kaydetme, yazılı CD görüntülerini alma, gönderilerden ekleri alma, takılan USB bellekte bulunan verileri çalma gibi işlemler gerçekleştirir. Araştırmacılar bu bulgulara rağmen keşfedilmemiş birçok mağdur bulunduğunu öne sürüyor.

Araştırmacıların, kötü amaçlı yazılımda depolanan 80 zararlı modülün tam bir listesini ve ne yaptıklarını anlatan kısa bir açıklama içeren bir IOC listesini yayınladıkları SecureList blogunda ek teknik detaylar bulunmaktadır. [3]

Nisan 9, 2019

Microsoft,  Aktif Tehdit Altındaki İki Zafiyet İçin Nisan 2019 Güvenlik Güncelleştirmelerini Yayınladı

Microsoft geçtiğimiz günlerde Windows işletim sistemlerinde ve diğer ürünlerinde, 13’ü kritik ve geri kalanları da önemli olarak değerlendirilebilecek  CVE’de listelenen toplamda 74 güvenlik açığını ele almak için Nisan 2019 yazılım güncellemesini yayınladı.

Güncelleştirmeler; Windows işletim sistemi, Internet Explorer, Edge, MS Office ve MS Office Hizmetleri ve Web Uygulamaları, ChakraCore, Exchange Server, .NET Framework ve ASP.NET, Skype Kurumsal, Azure DevOps Sunucusu, Open Enclave SDK, Team Foundation Server ve Visual Studio ürünlerini kapsamaktadır.

Bu güvenlik açıklıkları, ürünler piyasaya sürüldüğünde kamuoyuna açıklanmadı ve Internet Explorer ve Edge tarayıcılarında zeroday açıklıkları hacker’ların istismarına açık bırakılmış olundu. Windows işletim sisteminin desteklenen tüm sürümlerini etkileyen iki yeni yetki yükseltme güvenlik açığının aktif olarak kullanıldığı bildirilmiştir. Her ikisi de önemli olan zafiyetler olan bu açıklıklar ( CVE-2019-0803 ve CVE-2019-0859 ), hedef alınan bir bilgisayarda kernel modunda rasgele kod çalıştırmak için saldırganlar tarafından yararlanılabilecek Windows işletim sisteminin Win32k bileşeninde bulunmaktadır. Bunlar gibi birçok önemli güvenlik açığı ayrıca uzaktan kod yürütme saldırılarına yol açarken, diğerleri hak yükseltme, bilgilerin açığa çıkması, siteler arası komut dosyası çalıştırma (XSS), sızdırma ve hizmet reddi saldırılarına yol açmaktadır.

Kullanıcılara ve sistem yöneticilerine, siber suçluların bilgisayarlarının kontrolünü ele geçirmelerini önlemek için en kısa zamanda en son güvenlik güncellemelerini uygulamaları öneriliyor. En son güvenlik güncellemelerini yüklemek için, Ayarlar → Güncelleme ve Güvenlik → Windows Güncelleme → Bilgisayarınızdaki güncellemeleri kontrol et seçeneğine gidebilir veya güncellemeleri manuel olarak yükleyebilirsiniz. [4]

Nisan 9, 2019

Adobe, Flash, Acrobat Reader ve Diğer Ürünler İçin Güvenlik Yamalarını Yayınladı

Adobe; Flash Player, Adobe Acrobat ve Reader ve Shockwave Player dahil olmak üzere birçok ürününde toplam 40 güvenlik açığını gidermek için aylık güvenlik güncelleştirmelerini yayımladı. Açıklamalara göre Microsoft Windows ve Apple macOS işletim sistemlerinde çalışan Adobe Acrobat ve Reader uygulamaları, 11’i kritik olarak değerlendirilen toplam 21 güvenlik açığından etkilenmektedir. Zafiyetin başarılı bir şekilde istismarı saldırganların hedef sistem üzerinde tam kontrol sahibi olmalarını sağlayan rastgele kod yürütme saldırısına neden olur. En yaygın kullanılan PDF Reader yazılımında bulunan on güvenlik açığı önemli olarak değerlendirilir ve bilgilerin açığa çıkmasına neden olur. Sisteminiz henüz yeni güncellemenin kullanılabilirliğini otomatik olarak algılamadıysa, Adobe Acrobat ve Reader yazılımınızdaki "Yardım → Güncellemeleri Kontrol Et" i seçerek güncellemeyi manuel olarak kurmalısınız.  [5]

Nisan 3, 2019

Yeni Apache Web Sunucu Hatası, Paylaşılan Web Sunucularının Güvenliğini Tehdit Ediyor

Apache Software Foundation ve OpenSSL projesinin kurucu üyelerinden biri olan Mark J Cox, yakın bir süreçte Apache HTTP Sunucu yazılımında yeni keşfedilen önemli bir zafiyet hakkında açıklama yaptı. Yapılan açıklamada sunulan hizmetlerden yararlanan herkesin güncel yama paketini uygulamasının gerektiği belirtiliyor. CVE-2019-0211 olarak kaydedilen güvenlik açığı, Ambionics Security firmasında bir güvenlik mühendisi olan Charles Fol tarafından keşfedildi ve Apache geliştiricileri tarafından yayınlanan yazılımının en son 2.4.39 sürümünde yamalandı. Bu zafiyet, Apache HTTP Sunucusu’nun 2.4.17 ile 2.4.38 arasındaki sürümlerini etkilemekte ve daha az ayrıcalıklı bir kullanıcının hedef sunucu üzerinde root hakları ile rasgele kod çalıştırmasına izin vermektedir. Araştırmacı henüz bu güvenlik açığı için çalışan bir kanıt (PoC) istismar kodu yayınlamamasına rağmen, Charles Fol güvenlik açığının nasıl istismar edileceğini dair bir blog yazısı yayımladı. Güncellemelerin en kısa sürede yüklenmesi tavsiye edilmektedir. [6]

KAYNAKÇA

[1]. MicrosoftZafiyet

[2]. WPA3Zafiyet

[3]. APTFramework

[4]. MicrosoftGüncelleme

[5]. AdobeGüvenlikYama

[6]. ApacheWebSunucuHatası