EN

2019 20. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

20. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

2011’den Beri Birçok Intel İşlemciyi Etkileyen Açıklık Sınıfı Duyuruldu

TARİH: 14 Mayıs 2019

Güvenlik araştırmacıları ve akademisyenlerden oluşan bir grup tarafından ortaya çıkarılan yeni Intel işlemci açıklıklarının geçen yılın başlarında açıklanan Spectre ve Meltdown zafiyetlerinden daha farklı ancak daha tehlikeli bir spekülatif uygulama yan kanal açıklığına dayandığı bildirildi. Speculative execution tekniğinde işlemci bir komutun çıktısını  tahmin eder ve komutun işletilmesi daha sona ermemişken çıktı için kullanılacak olan sonraki komutları hazırlamaya çalışır, böylelikle işlemcinin performansının yükseltilmesi hedeflenir. Ancak tahmin doğru çıkmayıp işleyiş beklenen şekilde gerçekleşmediğinde normal kullanıcı haklarına sahip bir prosese ait bu spekülatif komutların memory koruma mekanizmasını atlatarak bellekteki hassas verileri yetkisiz bir şekilde okumasına imkan veren bu zafiyet ortaya çıkmaktadır.

Bu yeni açıklığın Apple cihazlarda da kullanılan tüm modern Intel chipleri etkilediği; saldırganlara doğrudan kullanıcı ve sistem düzeyli hassas bilgileri CPU buffer’lardan çektiği belirtiliyor. Çekilen hassas bilgiler arasında kullanıcı anahtarları, parolalar ve disk şifreleme anahtarları gibi kritik veriler yer alıyor. Önceki zafiyetler CPU cash’lerde saklanan verilerin çekilmesine imkan sağlarken, açıklanan yeni zafiyetler CPU internal buffer’larda bulunan bilgilerin çekilmesine de yol açmaktadır.

Zafiyetler CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 ve CVE-2019-11091 kodlarıyla ve Fallout attack, Zombieload ve RIDL  isimleriyle kaydedildi.

- CVE-2018-12126—Microarchitectural Store Buffer Data Sampling (MSBDS)
- CVE-2018-12130—Microarchitectural Fill Buffer Data Sampling (MFBDS)
- CVE-2018-12127—Microarchitectural Load Port Data Sampling (MLPDS)
- CVE-2019-11091—Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

Araştırmacılar, Fallout zafiyetinin ASLR(Address space layout randomization) veri alanlarını nasıl bozduğunu ve işletim sistemi tarafından belleğe yazılan hassas verinin nasıl çekildiğini kanıtlayan bir PoC yayınladı.

Intel, zafiyetler için yayınladığı Microcode Updates (MCU) güncellemeleri ile hem yazılım hem donanım tarafındaki açıklıkları düzeltmiş oldu. Bu güncellemede CPU’nun verilerin sızdırılması veya çalınmasına yol açacak olan durumlarda buffer’lardan tüm verilerin temizlenmesini sağlamaktadır. Tüm işletim sistemler, sanallaştırma ve yazılım üreticilerinin bu yamayı en kısa zamanda uygulamaları önemle tavsiye edilmektedir. Apple, 13 Mayıs 2019’da yayınladığı macOS Mojave 10.14.5  ve Safari güncellemeleri ile düzeltmelerini yayınlamış oldu. MDS açıklıkları için güncelleme yayınlayayan Microsoft ise güncelleştirmeleri kurmanın bazı durumlarda performansa etkileri olabileceğini belirtti.

Haber Yazısı 2

Microsoft, Wormable ve Diğer 78 Zafiyet için Güncelleştirmeler Yayınladı

TARİH: 14 Mayıs 2019

Geçen Hafta 14 Haziran’da Patch Tuesday çerçevesinde Mayıs ayına ait güncellemeleri duyuran Microsoft CVE’de listelenen 79 zafiyeti kapatmış olduğunu açıkladı.

79 açıklıktan 18 tanesini Kritik geri kalanlarının ise Önemli etiketiyle kategorilendirildiği ve kritikler arasında sayılan wormable RDP zafiyetinin zararlı yazılımların kullanıcı etkileşimine ihtiyaç duymadan bilgisayardan bilgisayara yayılmasına neden olduğu ve yüksek seviyeli bir tehdit oluşturduğu belirtiliyor. CVE-2019-0708 koduyla kaydedilen wormable açıklığı RDP servisinde bulunmakta ve özel olarak oluşturulan isteklerin hedeflenen sisteme RDP protokolü  üzerinden gönderilmesiyle uzaktan istismar edilebilmektedir.

WannaCry zararlısının yayılımına benzer bir yayılım gösteren zararlıların dağıtılmasında  bu zafiyet saldırganlar tarafından kullanılabilir. Microsoft bu açıklığın kimlik doğrulama öncesine ait bir zafiyet olduğunu, herhangi bir kullanıcı etkileşimini gerektirmediğini ve istismar edilmesi durumunda hedef sistemde kod çalıştırma saldırılarının gerçekleştirilebileceğini açıkladı.

Microsoft Windows 7, Windows Server 2008 R2, Windows Server 2008 desteklenen sistemlerin yanı sıra destek dışı olan Windows 2003 ve Windows XP içinde yama yayınladı. Ayrıca Windows sunucu kullanıcılarının TCP port 3389’u bloklamaları ve kimlik doğrulamadan geçemeyen saldırganların zafiyeti istismarının önlenmesi için Network Level Authentication servisinin aktif edilmesi Microsoft tarafından önerilmektedir.

Haber Yazısı 3

Siber Suçluların Kalıcı Backdoor Yerleştirmesine Neden Olan ve Milyonlarca Cisco Cihazı Etkileyen Açıklık

TARİH: 14 Mayıs 2019

Güvenlik araştırmacıları, kurumsal ve kamusal ağlarda kullanılan router, switch ve güvenlik duvarları da dahil olmak üzere geniş bir Cisco ürün yelpazesinde siber saldırganların kalıcı backdoor bulaştırmalarına yol açan bir  zafiyeti keşfettiklerini açıkladılar.  Thrangrycat olarak adlandırılan ve CVE-2019-1649 koduyla kaydedilen açıklık Trust Anchor modülünü destekleyen Cisco ürünlerini etkiliyor.  Trust Anchor modülü donanım tabanlı Secure Boot bileşeni olarak 2013 yılından beri üretilen hemen hemen tüm kurumsal Cisco cihazlarında uygulandığı ve sistem üzerinde çalışan firmware’lerin  güvenilir ve değişmemiş olduğunu denetlemeye yardımcı olmaktadır. Ancak araştırmacılar kimlik doğrulamadan geçen bir saldırganın FPGA bitstream modifikasyonu ile Trust Anchor modülünde kalıcı bir değişiklik yapmasına ve zararlı bootloader yüklemesine yol açan bir dizi donanım tasarım zafiyetini açığa çıkardılar.

Araştırmacılar, zafiyetin istismarının root yetkilerini gerektirdiğini ancak bu durumun,  root erişim hakkı veya en azından root olarak komut çalıştırma gibi işlevleri sağlayacak bir dizi açıklıkla birlikte kullanılmasıyla birlikte aşılabileceğini belirtiyor. Bunun kanıtı olarak araştırmacılar Cisco IOS işletim sisteminin web tabanlı kullanıcı arayüzünde bir açıklık (CVE-2019-1862) buldular ve login olmuş olan bir adminin zafiyetli bir cihazın Linux shell kabuğunda root yetkileriyle uzaktan komut çalıştırabileceğini gösterdiler. Böylelikle root erişim elde ettikten sonra sahte admin Thrangrycat zafiyetini istismar ederek Trust Anchor modülünü uzaktan yükleyip zararlı backdoor yazılımını yükleyebilir. Bu zafiyeti daha da tehlikeli hale getiren şey ise Thrangrycat istismarı ve komut çalıştırma saldırılarının birlikte kullanılması sonucunda saldırganın Cisco’nun güvenli boot mekanizmasını uzaktan ve kalıcı bir şekilde atlatarak Trust Anchot Modül için tüm gelecek yazılım güncelleştirmelerini de kilitlemesine yol açan bir özelliğe sahip olmasıdır.

Güvenlik araştırmacılarının çalışanı oldukları Red Balloon Güvenlik firması açıklığı Kasım 2018’de Cisco’ya bildirdi, Cisco’nun her iki zafiyet için de firmware yamalarını uygulamasından sonra firma zafiyete ilişkin bazı ayrıntıları kamuya açıkladı.

HABER YAZISI KAYNAKÇA

KAYNAKÇA

1- Intel Zafiyetleri

 

2- Microsoft Wormable Zafiyeti

 

3- Cisco Zafiyetleri