2020 32. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

32.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

ABD Hükümeti, ‘Taidoor’ Çin Virüsünün Yeni Varyantları İçin Uyardı

TARİH: 4 Ağustos 2020

ABD'deki istihbarat kurumları, Çin'in devlet destekli bilgisayar korsanları tarafından hükümetleri, şirketleri ve düşünce kuruluşlarını hedef alan 12 yıllık yeni bir bilgisayar virüsü türü hakkında bilgilendirme yaptı.

Taidoor adlı zararlı yazılım 2008’den beri siber saldırganlar tarafından gizli uzaktan erişim için kurban ağlarına yerleştirerek, sistemleri tehlikeye atmaktadır.

ABD Siber Komutanlığı, 50'den fazla Antivirüs şirketinin virüsün diğer atıfta bulunulmamış kampanyalara katılımını kontrol etmesi için VirusTotal'a dört Taidoor RAT örneği yükledi.

Trend Micro araştırmacılarının 2012'de yaptığı bir analizde , Taidoor ‘un arkasındaki aktörlerin, Tayvan hükümetini hedef almak için kötü niyetli PDF ekleri içeren sosyal olarak tasarlanmış e-postalardan yararlandıkları bulundu.

Daha sonra geçen yıl NTT Security, Microsoft Word belgeleri aracılığıyla Japon kuruluşlarına karşı kullanılan arka kapının kanıtını ortaya çıkardı . Açıldığında, saldırgan tarafından kontrol edilen bir sunucuyla iletişim kurmak ve rastgele komutlar çalıştırmak için kötü amaçlı yazılımı yürütür.

Taidoor, uzak komutları çalıştırmaya ek olarak, dosya sistemi verilerini toplamasına, ekran görüntülerini yakalamasına ve toplanan bilgileri dışarı sızmak için gerekli dosya işlemlerini gerçekleştirmesine izin veren özelliklerle birlikte gelir.

CISA, kullanıcıların ve yöneticilerin işletim sistemi yamalarını güncel tutmalarını, Dosya ve Yazıcı paylaşım hizmetlerini devre dışı bırakmalarını, güçlü bir parola politikası uygulamalarını ve e-posta eklerini açarken dikkatli olmalarını önerir.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Apple Touch ID Kusuru Saldırganların iCloud Hesaplarını Ele Geçirmesine İzin Verebilir

TARİH: 5 Ağustos 2020

Apple bu yılın başlarında iOS ve macOS'ta bir saldırganın bir kullanıcının iCloud hesabına yetkisiz erişim elde etmesine olanak verebilecek bir güvenlik açığını düzeltti.

BT güvenlik firması Computest'te güvenlik uzmanı olan Thijs Alkemade tarafından şubat ayında ortaya çıkarılan kusur, Apple'ın, kullanıcıların Safari'deki web sitelerinde, özellikle de Apple ID oturum açma bilgilerini kullananların kimliğini doğrulayan TouchID (veya FaceID) biyometrik özelliğini uygulamasında yatıyordu.

Sorun, sorumlu ifşa programı aracılığıyla Apple'a bildirildikten sonra, iPhone üreticisi bir sunucu tarafı güncellemesinde güvenlik açığını ele aldı.

Kullanıcılar, Apple Kimliği gerektiren bir web sitesinde oturum açmaya çalıştıklarında, Dokunmatik Kimliği kullanarak oturum açma işleminin doğrulanması için bir istem görüntülenir. Bunu yapmak, iki faktörlü kimlik doğrulama adımını atlar, çünkü cihaz (sahip olduğunuz bir şey) ve biyometrik bilgiler (olduğunuz bir şey) gibi tanımlama için bir faktör kombinasyonunu zaten kullanır. Apple etki alanlarına (ör. "İcloud.com") girişler sırasında bunu, bir kimlik ve parola ile normal yöntemle karşılaştırın; burada web sitesi, Apple'ın oturum açma doğrulama sunucusuna ("https://idmsa.apple.com") işaret eden bir iframe yerleştirir. kimlik doğrulama sürecini yönetir.

Bu, Apple'ın kimlik doğrulama altyapısında ilk kez güvenlik sorunları tespit edilmiyor. Mayıs ayında Apple, "Apple ile Giriş Yap" sistemini etkileyen ve uzaktaki saldırganların Apple'ın imzası kullanılarak kaydedilen üçüncü taraf hizmetler ve uygulamalarda hedeflenen kullanıcıların hesaplarını ele geçirmelerini ve kimlik doğrulamasını atlamalarını mümkün kılan bir kusuru yamadı.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

HTTP Talep Kaçakçılığı Saldırısının 4 Yeni Varyantı

TARİH: 5 Ağustos 2020

Yeni bir araştırma, çeşitli ticari kullanıma hazır web sunucularına ve HTTP proxy sunucularına karşı çalışan dört yeni HTTP isteği kaçakçılığı saldırısı çeşidi belirledi. Bulguları geçtiğimiz hafta Black Hat güvenlik konferansında sunan SafeBreach Güvenlik Araştırma Başkan Yardımcısı Amit Klein, saldırıların, web sunucularının ve HTTP proxy sunucularının, ilk belgelenmelerinden bu yana 15 yıl sonra bile HTTP istek kaçakçılığına nasıl açık olduğunu vurguladığını söyledi.

HTTP istek kaçakçılığı (veya HTTP Desyncing), bir web sitesinin bir veya daha fazla kullanıcıdan alınan HTTP isteklerinin sıralarını işleme biçimine müdahale etmek için kullanılan bir tekniktir.

Klein tarafından açıklanan yeni varyantlar, web sunucusu modunda Aprelium's Abyss, Microsoft IIS, Apache ve Tomcat ve HTTP proxy modunda Nginx, Squid, HAProxy, Caddy ve Traefik dahil olmak üzere çeşitli proxy sunucu kombinasyonlarının kullanılmasını içerir. Araştırmacının deneylerinde başarıyla kullandığı eski bir varyant da dahil olmak üzere yeni dört yeni varyantın tamamı aşağıdaki gibidir:

-Varyant 1: "Header SP/CR junk: …"
-Varyant 2: "Wait for It"
-Varyant 3: HTTP/1.2 to bypass mod_security-like defense
-Varyant 4: a plain solution
-Varyant 5: "CR header"

Bulgular Aprelium, Squid ve OWASP CRS'ye açıklandıktan sonra, sorunlar Abyss X1 v2.14 , Squid sürüm 4.12 ve 5.0.3 ve CRS v3.3.0'da düzeltildi.

Klein, "ModSecurity (CRS ile) gerçekten açık kaynaklı bir projedir, ancak sağlamlık ve genellik açısından mod_security'nin birçok dezavantajı vardır. HTTP İstek Kaçakçılığı'na karşı tam koruma sağlamaz [ve] yalnızca Apache, IIS ve nginx için kullanılabilir." diye belirtti.

Bu amaçla Klein, HTTP başlık biçimine ve istek satırı biçimine sıkı sıkıya bağlılık sağlayarak, gelen tüm HTTP isteklerinin tamamen geçerli, uyumlu ve açık olmasını sağlayan C ++ tabanlı bir kitaplık yayınladı.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

Intel, ARM, IBM, AMD İşlemciler Yeni Yan Kanal Saldırılarına Karşı Savunmasız

TARİH: 6 Ağustos 2020

Meltdown ve Foreshadow gibi modern işlemcilere karşı daha önce açıklanan birkaç spekülatif yürütme saldırısının arkasındaki temel nedenin, 'önceden getirme etkisine' yanlış atfedildiği ortaya çıktı, bu da donanım satıcılarının eksik azaltmalar ve karşı önlemler yayınlamasına neden oldu.

Graz Teknoloji Üniversitesi ve CISPA Helmholtz Bilgi Güvenliği Merkezi'nden bir grup akademisyen, çekirdek adreslerinin neden ilk başta önbelleğe alındığının kesin nedenini ortaya çıkardı ve aynı zamanda birkaç yeni saldırı sundu. Önceden tanımlanmamış temel sorunu kullanarak saldırganların hassas verileri bulmasına olanak tanır.

Yeni araştırma, mikro mimari saldırıların aslında çekirdekteki kullanıcı alanı kayıtlarının spekülatif olarak çıkarılmasından kaynaklandığını açıklıyor; bu, yalnızca en son Intel CPU'ları en son donanım azaltmalarıyla değil, aynı zamanda ARM, IBM ve AMD'den birkaç modern işlemciyi de etkiliyor.

Önceden getirme etkisinin gerçek temel nedenini analiz etmenin yanı sıra, araştırmadan elde edilen diğer bazı önemli bulgular şunlardır:

-Daha kısıtlı bağlamlarda adres çeviri saldırısı, belirli senaryolarda kayıt değerlerinin doğrudan sızması ve L1 dışı verileri hedefleyen uçtan uca Öngörü istismarı dahil olmak üzere, temel nedeni istismar eden birkaç yeni saldırının keşfi.
-Bazı durumlarda, saldırganların paylaşılan belleğe güvenmeden bir kayıtta depolanan adresin (veya değerin) önbelleğe alınmasını gözlemlemesine olanak tanıyan yeni bir çapraz çekirdekli gizli kanal saldırısı.
-Spectre 'önceden getirme' aygıtları gerçek verileri doğrudan sızdırabilir, bu da ZombieLoad saldırısının Intel CPU'larda hassas verileri dahili tamponlardan veya bellekten sızdırmasını verimli kılmakla kalmaz, aynı zamanda Intel olmayan CPU'ları da etkiler.
-Spekülatif referans alma sorunu - Rowhammer , önbellek saldırıları ve DRAMA gibi belirli saldırılarda - saldırganların JavaScript değişkenlerinin fiziksel adreslerini kurtarmasına ve bir web tarayıcısı aracılığıyla uzaktan geçici yürütme yoluyla bilgi sızdırmasına izin verebilir.

Bu saldırıları hafifletmek için, mevcut CPU'ların retpoline ("dönüş trambolin" in kısaltması) dahil Spectre-BTB azaltmalarını etkinleştirmesi önerilir.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

KAYNAKÇA