EN
EN

2019 18. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

18. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Birçok Popüler E-posta İstemcisi İmza Sahteciliği (Signature Spoofing) Saldırılarına Karşı Zafiyetli Bulundu

TARİH : 30 Nisan 2019

Siber güvenlik araştırmacısı bir ekip, OpenPGP ve S/MIME e-posta imza doğrulama uygulamalarında, birçok popüler e-posta istemcisine ait e-postaların güvenliğini tehlikeye atacak zafiyete sahip olduğunu açıkladı. Thunderbird, Microsoft Outlook, Apple Mail with GPGTools, iOS Mail, GpgOL, KMail, Evolution, MailMate, Airmail, K-9 Mail, Roundcube ve Mailpile etkilenen e-posta istemcilerindendir.

Dijital olarak imzalanmış bir e-posta gönderdiğinizde, alıcılara e-postanın sizden geldiğini belirtir, mesajın bütünlük ve orijinalliğini garanti eder.  Ancak, araştırmacılar Windows, Linux, macOS, iOS, Android ve Web için yaygın olarak kullanılan 25 e-posta istemcisini test ettiler ve en az 14 tanesinin aşağıda belirtilen beş kategorinin altındaki birden fazla uygulamalı saldırıya açık olduklarını belirttiler. Araştırma, Ruhr Üniversitesi Bochum ve Münster Uygulamalı Bilimler Üniversitesi'nden Jens Müller, Marcus Brinkmann, Damian Poddebniak, Hanno Böck, Sebastian Schinzel, Juraj Somorovsky ve Jörg Schwenk'ten oluşan bir araştırma ekibi tarafından yürütülmüştür.

1-CMS Saldırıları (C1, C2, C3, C4)
2-GPG API Saldırıları (G1, G2)
3- MIME Saldırıları (M1, M2, M3, M4)
4- ID Saldırıları (I1, I2, I3)
5- UI Saldırıları (U1)

Bu kusurlardan yararlanılırsa, şifreli mesajlar geçmişte gönderilen şifreli e-postalar dâhil olmak üzere düz metin iletişimine şifresini çözebilir.

E-posta istemcilerindeki güvenlik açıklarına aşağıdaki CVE'ler verilmiştir: CVE-2018-18509, CVE-2018-12019, CVE-2018-12020, CVE-2017-17848, CVE-2018-15586, CVE-2018-15587, CVE- 2018-15588, CVE-2019-8338, CVE-2018-12356, CVE-2018-12556 ve CVE-2019-728.

Araştırmacılar, bu güvenlik açıklarını etkilenen üreticilere ve geliştiricilere raporlamanın  yanı sıra, şu anda etkilenen yazılımların çoğunun en son sürümlerinde uygulanan güvenlik tedbirleri için de öneriler de bulunmuştur. [1]

Haber Yazısı 2

Hacker’lar Ransomware Yazılımını Yaymak İçin Oracle WebLogic RCE Zafiyetinden Yararlandı

TARİH: 1 Mayıs 2019

Siber saldırganlar, yeni duyurulanların yanı sıra yamalı güvenlik açıklıklarından da yararlanarak bu zafiyeti kripto-madencilik, phishing ve fidye yazılımı gibi günlük saldırılarda kullanım için birincil atak vektörlerinden biri haline getirdiler.

Şüphe edildiği gibi, yaygın olarak kullanılan Oracle WebLogic Server ’da son zamanlarda açıklanan kritik bir güvenlik açığı, araştırmacıların "Sodinokibi" olarak adlandırdığı, daha önce hiç görülmemiş bir fidye yazılımı türevini dağıtmak için aktif olarak kullanılmaya başlandığı ortaya çıkarıldı.

Oracle WebLogic yazılımının tüm sürümlerini etkileyen ve 10 üzerinden 9,8 önem derecesi alan bu güvenlik açığını (CVE-2019-2725) gidermek için, Oracle 26 Nisan’da bant dışı bir güvenlik güncellemesi yayınladı. Güvenlik açığının kamuya açıklanmasından bir gün sonra birkaç saldırı gözlendi.

Cisco Talos ‘un tehdit araştırma ekibinden siber güvenlik araştırmacılarının açıklamalarına göre, bilinmeyen bir bilgisayar korsanı grubu bu güvenlik açığını istismar ederek en az 25 Nisan'dan beri savunmasız sunuculara yeni bir fidye yazılımı içeren kötü amaçlı yazılımlar bulaştırmak için kullanıyor.

Sodinokibi, kurbanların bir fidye ödemeden verilerini kurtarmalarını önlemek amacıyla, bir kullanıcının dizinindeki dosyaları şifrelemek ve ardından sistemden gölge kopya(shadow copy) yedeklerini silmek için tasarlanmış tehlikeli bir ransomware çeşididir.

Saldırganlar, tipik ransomware saldırılarının aksine, WebLogic Server'daki bir uzaktan kod yürütme güvenlik açığından yararlandıklarından, Sodinokibi ransomware'in dağıtılması için kullanıcı etkileşimi gerekmez. Bir kere indirildikten sonra, Sodinokibi Ransomware kurbanın sistemlerini şifreliyor ve Bitcoin'de 2500 $ 'a varan fidye notu görüntülüyor. Fidye belirli bir gün içinde ödenmezse, süre iki gün ila altı gün arasında değişebilecekse bu tutar 5.000 $ 'a çıkar.

Oracle WebLogic Server kullanan kuruluşlar, kurulumlarını en kısa sürede yazılımın en son sürümüne güncellediğinden emin olmalıdır. [2]

Haber Yazısı 3

Önceden Kurulu Gelen Bir Yazılım Zafiyeti Birçok Dell Bilgisayarın Uzaktan Hacklenmesine Neden Oluyor

TARİH: 2 Mayıs 2019

Dell marka bilgisayar kullanıyorsanız dikkatli olmalısınız çünkü siber saldırganlar bilgisayarlarınızı tehlikeye atabilir.

17 yaşında bir bağımsız güvenlik araştırmacısı olan Bill Demirkapi, Dell bilgisayarlarının çoğunda önceden yüklenmiş olarak gelen Dell SupportAssist yardımcı programında kritik bir uzaktan kod yürütme güvenlik açığı keşfetti.

Eskiden Dell System Detect olarak bilinen Dell SupportAssist, bilgisayar sisteminizin donanım ve yazılım sağlığını kontrol eder. Yardımcı program, Dell Destek web sitesiyle etkileşimde bulunmak ve Dell ürününüzün Servis Etiketini veya Hızlı Servis Kodunu otomatik olarak tespit etmek, mevcut aygıt sürücülerini taramak ve eksik veya mevcut sürücü güncellemelerini yüklemek ve ayrıca donanım tanılama testlerini gerçekleştirmek üzere tasarlanmıştır.

Yerel web servisi "Erişim Kontrolü-İzin-Menşei" yanıt başlığını kullanarak korunmuş ve yalnızca "dell.com" web sitesinden veya alt etki alanlarından komutları kabul etmesini kısıtlayan bazı onaylamalar olsa da, Demirkapı bunları atlamanın yollarını açıkladı. Blog adresinde yayınlanan korumalar geçen hafta çarşamba günü yayınlandı.

CVE-2019-3719 olarak tanımlanan uzaktan kod yürütme güvenlik açığı, 3.2.0.90 sürümünden önceki Dell SupportAssist İstemci sürümlerini etkiler.

Araştırmacı güvenlik açığı ayrıntılarını herkese açık olarak yayınlamadan önce bulgularını, sorunu ele almak üzere etkilenen yazılımın bir güncelleme sürümünü yayımlayan Dell güvenlik ekibine bildirmiştir.

Bu sorunun yanı sıra, Dell, SupportAssist yazılımında, kimliği doğrulanmamış uzaktan işlem gerçekleştiren bir saldırganın kullanıcıların sistemlerine CSRF saldırıları yapmalarına izin verebilecek bir köken doğrulama (CVE-2019-3718) güvenlik açığı da eklendi.

Dell kullanıcılarının güncellenmiş Dell SupportAssist 3.2.0.90 veya sonraki bir sürümünü yüklemeleri ya da sadece gerekli olmadıkça uygulamayı tamamen kaldırmaları önerilir. [3]

Haber Yazısı 4

Google, Konum Geçmişinizi ve Etkinlik Verileriniz için Yeni Bir Seçenek "Otomatik Silme /Auto-Delete"

TARİH: 2 Mayıs 2019

Google teknoloji şirketi, kullanıcıların konum geçmişi ve internet gezinme verilerinin otomatik silme sürelerine ek bir seçenek daha getirdi.

Google, Google hesabınız için Konum Geçmişinizi (Location History) ve Web ve Uygulama Etkinliği (Web and App Activity) verilerinizi otomatik olarak silmenizi sağlayacak yeni, daha kolay ve gizlilik odaklı bir otomatik silme özelliği sundu.

Kullandığınız Google’ın Konum Geçmişi özelliği aktifse, Google şirketi ziyaret ettiğiniz yerleri, Web ve Uygulama Etkinliği ziyaret ettiğiniz web sitelerini ve kullandığınız uygulamaları izler. Google, şimdiye kadar, Konum Verisini ve Web ve Uygulama Etkinliği özelliğini tamamen devre dışı bırakmanıza ya da kullanıcıların verilerini verimli bir şekilde yönetebilmeleri için düzenli silmeye yönelik hiçbir kontrol sağlamadan bu verilerin tümünü veya bir kısmını el ile silmenize izin veriyordu. Ancak geçtiğimiz yıl yapılan bir AP soruşturmasına göre tüm hesaplarınızda Konum Geçmişi özelliğini kapatsanız bile, Android ve iPhone cihazlarındaki Google hizmetlerinin hareketlerinizi izlemeye devam ettiği açıklandı. Geçtiğimiz ay Google’ın, suç davalarını çözmek için kolluk kuvvetleri tarafından kullanıldığı bildirilen, Sensorvault adında dünya çapında yüz milyonlarca telefonun ayrıntılı konum kayıtlarını içeren bir veritabanı tuttuğu da ortaya çıktı.

Kullanıcıların verileriyle ilgili endişeleri ve geri bildirimlerinden sonra, Google, yeni üç seçenek arasından seçim yapmalarını sağlayarak kullanıcıların konumlarını ve web etkinlik verilerinin şirketin sunucularına ne kadar süreyle kaydedilmesini istediklerini seçmelerine olanak tanıyan yeni otomatik silme özelliğini sundu:

- Manuel olarak silene kadar sakla
- 18 ay saklayın, sonra otomatik olarak silin
- 3 ay saklayın, sonra otomatik olarak silin

Otomatik Silme Seçeneği Nasıl Etkinleştirilir?

Seçenek şuan mevcut değil fakat Google tarafından paylaşılan GIF’e göre otomatik silme özelliğini etkinleştirmek için yapılması gereken adımlar aşağıdaki gibidir:

- Google ana sayfasını ziyaret edin ve sağ üst köşedeki profil resminize tıklayın.
- Ardından Google Hesabı-Google Account seçeneğine tıklayın.
- Veri ve Kişiselleştirme (Data & Personalization) sekmesini seçin ve Web ve Uygulama (Data & Personalization) etkinliğini tıklayın.
- "Manuel olarak silene kadar sakla", "18 ay sakla" ve "3 ay sakla" seçenekleri arasından seçim yapın.
- İleri'ye tıklayın ve seçiminizi onaylayın. [4]

KAYNAKÇA

[1]. OpenPGP-S/MIME

[2]. WebLogicRCE

[3]. Dell

[4]. GoogleLocation