2019 20. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
20. Hafta Siber Güvenlik Haberleri
Haber Yazısı 1
2011’den Beri Birçok Intel İşlemciyi Etkileyen Açıklık Sınıfı Duyuruldu
TARİH: 14 Mayıs 2019
Güvenlik araştırmacıları ve akademisyenlerden oluşan bir grup tarafından ortaya çıkarılan yeni Intel işlemci açıklıklarının geçen yılın başlarında açıklanan Spectre ve Meltdown zafiyetlerinden daha farklı ancak daha tehlikeli bir spekülatif uygulama yan kanal açıklığına dayandığı bildirildi. Speculative execution tekniğinde işlemci bir komutun çıktısını tahmin eder ve komutun işletilmesi daha sona ermemişken çıktı için kullanılacak olan sonraki komutları hazırlamaya çalışır, böylelikle işlemcinin performansının yükseltilmesi hedeflenir. Ancak tahmin doğru çıkmayıp işleyiş beklenen şekilde gerçekleşmediğinde normal kullanıcı haklarına sahip bir prosese ait bu spekülatif komutların memory koruma mekanizmasını atlatarak bellekteki hassas verileri yetkisiz bir şekilde okumasına imkan veren bu zafiyet ortaya çıkmaktadır.
Bu yeni açıklığın Apple cihazlarda da kullanılan tüm modern Intel chipleri etkilediği; saldırganlara doğrudan kullanıcı ve sistem düzeyli hassas bilgileri CPU buffer’lardan çektiği belirtiliyor. Çekilen hassas bilgiler arasında kullanıcı anahtarları, parolalar ve disk şifreleme anahtarları gibi kritik veriler yer alıyor. Önceki zafiyetler CPU cash’lerde saklanan verilerin çekilmesine imkan sağlarken, açıklanan yeni zafiyetler CPU internal buffer’larda bulunan bilgilerin çekilmesine de yol açmaktadır.
Zafiyetler CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 ve CVE-2019-11091 kodlarıyla ve Fallout attack, Zombieload ve RIDL isimleriyle kaydedildi.
- CVE-2018-12126—Microarchitectural Store Buffer Data Sampling (MSBDS)
- CVE-2018-12130—Microarchitectural Fill Buffer Data Sampling (MFBDS)
- CVE-2018-12127—Microarchitectural Load Port Data Sampling (MLPDS)
- CVE-2019-11091—Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
Araştırmacılar, Fallout zafiyetinin ASLR(Address space layout randomization) veri alanlarını nasıl bozduğunu ve işletim sistemi tarafından belleğe yazılan hassas verinin nasıl çekildiğini kanıtlayan bir PoC yayınladı.
Intel, zafiyetler için yayınladığı Microcode Updates (MCU) güncellemeleri ile hem yazılım hem donanım tarafındaki açıklıkları düzeltmiş oldu. Bu güncellemede CPU’nun verilerin sızdırılması veya çalınmasına yol açacak olan durumlarda buffer’lardan tüm verilerin temizlenmesini sağlamaktadır. Tüm işletim sistemler, sanallaştırma ve yazılım üreticilerinin bu yamayı en kısa zamanda uygulamaları önemle tavsiye edilmektedir. Apple, 13 Mayıs 2019’da yayınladığı macOS Mojave 10.14.5 ve Safari güncellemeleri ile düzeltmelerini yayınlamış oldu. MDS açıklıkları için güncelleme yayınlayayan Microsoft ise güncelleştirmeleri kurmanın bazı durumlarda performansa etkileri olabileceğini belirtti.
Haber Yazısı 2
Microsoft, Wormable ve Diğer 78 Zafiyet için Güncelleştirmeler Yayınladı
TARİH: 14 Mayıs 2019
Geçen Hafta 14 Haziran’da Patch Tuesday çerçevesinde Mayıs ayına ait güncellemeleri duyuran Microsoft CVE’de listelenen 79 zafiyeti kapatmış olduğunu açıkladı.
79 açıklıktan 18 tanesini Kritik geri kalanlarının ise Önemli etiketiyle kategorilendirildiği ve kritikler arasında sayılan wormable RDP zafiyetinin zararlı yazılımların kullanıcı etkileşimine ihtiyaç duymadan bilgisayardan bilgisayara yayılmasına neden olduğu ve yüksek seviyeli bir tehdit oluşturduğu belirtiliyor. CVE-2019-0708 koduyla kaydedilen wormable açıklığı RDP servisinde bulunmakta ve özel olarak oluşturulan isteklerin hedeflenen sisteme RDP protokolü üzerinden gönderilmesiyle uzaktan istismar edilebilmektedir.
WannaCry zararlısının yayılımına benzer bir yayılım gösteren zararlıların dağıtılmasında bu zafiyet saldırganlar tarafından kullanılabilir. Microsoft bu açıklığın kimlik doğrulama öncesine ait bir zafiyet olduğunu, herhangi bir kullanıcı etkileşimini gerektirmediğini ve istismar edilmesi durumunda hedef sistemde kod çalıştırma saldırılarının gerçekleştirilebileceğini açıkladı.
Microsoft Windows 7, Windows Server 2008 R2, Windows Server 2008 desteklenen sistemlerin yanı sıra destek dışı olan Windows 2003 ve Windows XP içinde yama yayınladı. Ayrıca Windows sunucu kullanıcılarının TCP port 3389’u bloklamaları ve kimlik doğrulamadan geçemeyen saldırganların zafiyeti istismarının önlenmesi için Network Level Authentication servisinin aktif edilmesi Microsoft tarafından önerilmektedir.
Haber Yazısı 3
Siber Suçluların Kalıcı Backdoor Yerleştirmesine Neden Olan ve Milyonlarca Cisco Cihazı Etkileyen Açıklık
TARİH: 14 Mayıs 2019
Güvenlik araştırmacıları, kurumsal ve kamusal ağlarda kullanılan router, switch ve güvenlik duvarları da dahil olmak üzere geniş bir Cisco ürün yelpazesinde siber saldırganların kalıcı backdoor bulaştırmalarına yol açan bir zafiyeti keşfettiklerini açıkladılar. Thrangrycat olarak adlandırılan ve CVE-2019-1649 koduyla kaydedilen açıklık Trust Anchor modülünü destekleyen Cisco ürünlerini etkiliyor. Trust Anchor modülü donanım tabanlı Secure Boot bileşeni olarak 2013 yılından beri üretilen hemen hemen tüm kurumsal Cisco cihazlarında uygulandığı ve sistem üzerinde çalışan firmware’lerin güvenilir ve değişmemiş olduğunu denetlemeye yardımcı olmaktadır. Ancak araştırmacılar kimlik doğrulamadan geçen bir saldırganın FPGA bitstream modifikasyonu ile Trust Anchor modülünde kalıcı bir değişiklik yapmasına ve zararlı bootloader yüklemesine yol açan bir dizi donanım tasarım zafiyetini açığa çıkardılar.
Araştırmacılar, zafiyetin istismarının root yetkilerini gerektirdiğini ancak bu durumun, root erişim hakkı veya en azından root olarak komut çalıştırma gibi işlevleri sağlayacak bir dizi açıklıkla birlikte kullanılmasıyla birlikte aşılabileceğini belirtiyor. Bunun kanıtı olarak araştırmacılar Cisco IOS işletim sisteminin web tabanlı kullanıcı arayüzünde bir açıklık (CVE-2019-1862) buldular ve login olmuş olan bir adminin zafiyetli bir cihazın Linux shell kabuğunda root yetkileriyle uzaktan komut çalıştırabileceğini gösterdiler. Böylelikle root erişim elde ettikten sonra sahte admin Thrangrycat zafiyetini istismar ederek Trust Anchor modülünü uzaktan yükleyip zararlı backdoor yazılımını yükleyebilir. Bu zafiyeti daha da tehlikeli hale getiren şey ise Thrangrycat istismarı ve komut çalıştırma saldırılarının birlikte kullanılması sonucunda saldırganın Cisco’nun güvenli boot mekanizmasını uzaktan ve kalıcı bir şekilde atlatarak Trust Anchot Modül için tüm gelecek yazılım güncelleştirmelerini de kilitlemesine yol açan bir özelliğe sahip olmasıdır.
Güvenlik araştırmacılarının çalışanı oldukları Red Balloon Güvenlik firması açıklığı Kasım 2018’de Cisco’ya bildirdi, Cisco’nun her iki zafiyet için de firmware yamalarını uygulamasından sonra firma zafiyete ilişkin bazı ayrıntıları kamuya açıkladı.
HABER YAZISI KAYNAKÇA
KAYNAKÇA
2- Microsoft Wormable Zafiyeti