EN
EN

2019 23. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

23. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Windows EoP Zafiyetine Ait Yamayı Atlatan İkinci Zero-Day: ByeBear

TARİH: 7 Haziran 2019

SandboxEscaper takma adlı anonymous bir güvenlik araştırmacısı son günlerde yaması yayınlanan Windows’a ait hak yükseltme zafiyetini atlatan ikinci bir zero-day daha paylaştı. CVE-2019-0841 kodlu ilk zafiyet Windows AppX Deployment (AppXSVC) servisinin hard linkleri uygunsuz bir şekilde işletmesinden kaynaklanıyordu. Ancak hacker bu açıklık için yayınlanan yamayı atlatmak adına sahip olunan hakların yükseltilmesini ve Windows cihazının tam kontrolünü elde edilmesini sağlayan zararlı bir uygulamayı kullanan yeni bir yöntem bulduğunu duyurdu.

PoC videosunda, ByeBear exploit kodunun Microsoft Edge tarayıcısını manipüle ederek discretionary access control (DACL)  mekanizması işletilirken mevcut kullanıcının SYSTEM ayrıcalığı ile yazdırabildiğini gösteriyor. Güvenlik araştırmacısı zafiyetin istismarının Edge ile kısıtlı olmadığını, aynı zamanda diğer paket uygulamalar ile de gerçekleştirilebileceğini vurguluyor. Dikkat edilmesi gerekenin Edge’nin pop-up açmasına izin vermeden istismarın gerçekleştirilmesini sağlamak olduğunu belirtiyor.

Haber Yazısı 2

Dünya Genelinde 1.5 Milyon RDP Sunucusunu Hedef Alan Botnet: GoldBrute

TARİH: 7 Haziran 2019

Güvenlik araştırmacıları halihazırda public kullanıma açık 1.5 milyon Windows RDP sunucusunu brute-force saldırıları ile hedef alan sofistike bir botnet faaliyetini keşfetti. GoldBrute olarak adlandırılan bu botnet,yeni kırılan her yeni sunucuyu ağına eklemesi, ele geçirilen bu sunucuların yeni RDP sunucularını tespit edip onları kırması üzerine dizayn edilmiş bir yapıya sahip. Bu botneti yöneten siber suçlular zararlı yazılım analistlerini ve güvenlik araçlarını atlatmak için brute-force ataklarının farklı IP adreslerinden geldiği algısını yaratmak için ele geçirilen bilgisayarların RDP sunucularına tekil kullanıcı adı/parola ikilisi ile saldırması komutunu vermiş durumda.

Şu an için tam olarak kaç tane RDP sunucusunun ele geçirildiği ve diğer RDP sunucularına kaba kuvvet saldırıları gerçekleştirdiği konusunda kesin bir bilgi yok. Bu haberin yazıldığı sırada hızlı bir Shodan araması 2.4 milyon Windows RDP sunucusunun internet üzerinden erişilebilir olduğunu göstermekte ve muhtemelen bunların yarısından fazlasının kaba kuvvet atakları aldığı tahmin edilmektedir.

RDP protokolüne ait son dönemde ortaya çıkan iki açıktan biri Microsoft tarafından kapatılırken diğeri için henüz yama yayınlanmadı. CVE-2019-0708 koduyla kaydedilen ve yaması yayınlanan BlueKeep açıklığı hacker’ların RDP sunucularını uzaktan ele geçirmesini ve istismar edilmesi durumunda WannaCry ve NotPetya zararlılarından daha geniş etki yaratacak bir potansiyele sahip bir worm türü. Yaması yayınlanmayan CVE-2019-9510 kodlu diğer açıklık ise client taraflı saldırganın RDP oturumlarına ait kilit ekranının atlatılmasını sağlıyor.

Haber Yazısı 3

Synthetic Click Özelliğini Manipüle Eden macOS 0-Day Açıklığı

TARİH: 3 Haziran 2019

Geçen yıl macOS’un gizlilik denetimini atlatan güvenlik araştırmacısı Patrick Wardle,  Synthetic Clicks özeliğini manipüle eden ve kullanıcının etkileşimini gerektirmeyecek şekilde güvenlik uyarılarını atlatmaya yarayan yeni bir yöntem bulduğunu açıkladı. Synthetic Clicks özelliği engelli kullanıcıların sistemle etkileşimini sağlayan yazılım tarafından ekranda görünmez bir şekilde üretilen fare tıklamaları olarak açıklanıyor. Bu özelliğin sadece Apple tarafından onaylanan uygulamaların erişiminde olduğu ve zararlı yazılımların istismarının bu şekilde önlenmeye çalışıldığı belirtiliyor.

Ancak güvenlik araştırmacısı Wardle, geçen yılki zafiyetin hedef sistem üzerinde güvenlik uyarı pop-up’larını kullanıcı etkileşimi veya izni gerekmeden sanal olarak kapatmayı sağlayacak zararlı yazılımların kurulmasına izin verdiğini ortaya koymuştu. Apple bu zafiyet açık edildikten birkaç hafta sonra yama yayınladı ancak Wardle bir kez daha Synthetic Clicks özelliğini istismar eden uygulamaların kullanıcının açık bir iznini almadan gizli bilgilerine erişebildiğini gösteren yeni bir metodu public olarak açıkladı.

Wardle, bu açıklığın macOS’un beyaz listeye alınmış olan uygulamaların bütünlüğünü kontrol eden mekanizmasındaki bir denetleme hatasından kaynaklandığını belirtiyor.

Güvenlik araştırmacısı, bu açıklığın istismar edilebilmesi için siber suçlunun macOS bilgisayara uzak erişiminin olması veya zararlı bir uygulamayı kurmuş olması gerektiğinden dolayı bu zafiyeti ikinci safha bir saldırı olarak nitelendiriyor. Wardle bulguları Apple’a geçen hafta raporladığını, Apple’ın raporu aldığını açıkladığını ancak yamayı ne zaman duyuracağı konusunda bilgi vermediğini belirtiyor.

KAYNAKÇA

1- ByeBear 

2- GoldBrute

3- Synthetic Click