EN

2019 23. Hafta Siber Güvenlik Haberleri

14 Haziran 2019

SİBER GÜVENLİK GÜNDEMİ

23. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Windows EoP Zafiyetine Ait Yamayı Atlatan İkinci Zero-Day: ByeBear

TARİH: 7 Haziran 2019

SandboxEscaper takma adlı anonymous bir güvenlik araştırmacısı son günlerde yaması yayınlanan Windows’a ait hak yükseltme zafiyetini atlatan ikinci bir zero-day daha paylaştı. CVE-2019-0841 kodlu ilk zafiyet Windows AppX Deployment (AppXSVC) servisinin hard linkleri uygunsuz bir şekilde işletmesinden kaynaklanıyordu. Ancak hacker bu açıklık için yayınlanan yamayı atlatmak adına sahip olunan hakların yükseltilmesini ve Windows cihazının tam kontrolünü elde edilmesini sağlayan zararlı bir uygulamayı kullanan yeni bir yöntem bulduğunu duyurdu.

PoC videosunda, ByeBear exploit kodunun Microsoft Edge tarayıcısını manipüle ederek discretionary access control (DACL)  mekanizması işletilirken mevcut kullanıcının SYSTEM ayrıcalığı ile yazdırabildiğini gösteriyor. Güvenlik araştırmacısı zafiyetin istismarının Edge ile kısıtlı olmadığını, aynı zamanda diğer paket uygulamalar ile de gerçekleştirilebileceğini vurguluyor. Dikkat edilmesi gerekenin Edge’nin pop-up açmasına izin vermeden istismarın gerçekleştirilmesini sağlamak olduğunu belirtiyor.

Haber Yazısı 2

Dünya Genelinde 1.5 Milyon RDP Sunucusunu Hedef Alan Botnet: GoldBrute

TARİH: 7 Haziran 2019

Güvenlik araştırmacıları halihazırda public kullanıma açık 1.5 milyon Windows RDP sunucusunu brute-force saldırıları ile hedef alan sofistike bir botnet faaliyetini keşfetti. GoldBrute olarak adlandırılan bu botnet,yeni kırılan her yeni sunucuyu ağına eklemesi, ele geçirilen bu sunucuların yeni RDP sunucularını tespit edip onları kırması üzerine dizayn edilmiş bir yapıya sahip. Bu botneti yöneten siber suçlular zararlı yazılım analistlerini ve güvenlik araçlarını atlatmak için brute-force ataklarının farklı IP adreslerinden geldiği algısını yaratmak için ele geçirilen bilgisayarların RDP sunucularına tekil kullanıcı adı/parola ikilisi ile saldırması komutunu vermiş durumda.

Şu an için tam olarak kaç tane RDP sunucusunun ele geçirildiği ve diğer RDP sunucularına kaba kuvvet saldırıları gerçekleştirdiği konusunda kesin bir bilgi yok. Bu haberin yazıldığı sırada hızlı bir Shodan araması 2.4 milyon Windows RDP sunucusunun internet üzerinden erişilebilir olduğunu göstermekte ve muhtemelen bunların yarısından fazlasının kaba kuvvet atakları aldığı tahmin edilmektedir.

RDP protokolüne ait son dönemde ortaya çıkan iki açıktan biri Microsoft tarafından kapatılırken diğeri için henüz yama yayınlanmadı. CVE-2019-0708 koduyla kaydedilen ve yaması yayınlanan BlueKeep açıklığı hacker’ların RDP sunucularını uzaktan ele geçirmesini ve istismar edilmesi durumunda WannaCry ve NotPetya zararlılarından daha geniş etki yaratacak bir potansiyele sahip bir worm türü. Yaması yayınlanmayan CVE-2019-9510 kodlu diğer açıklık ise client taraflı saldırganın RDP oturumlarına ait kilit ekranının atlatılmasını sağlıyor.

Haber Yazısı 3

Synthetic Click Özelliğini Manipüle Eden macOS 0-Day Açıklığı

TARİH: 3 Haziran 2019

Geçen yıl macOS’un gizlilik denetimini atlatan güvenlik araştırmacısı Patrick Wardle,  Synthetic Clicks özeliğini manipüle eden ve kullanıcının etkileşimini gerektirmeyecek şekilde güvenlik uyarılarını atlatmaya yarayan yeni bir yöntem bulduğunu açıkladı. Synthetic Clicks özelliği engelli kullanıcıların sistemle etkileşimini sağlayan yazılım tarafından ekranda görünmez bir şekilde üretilen fare tıklamaları olarak açıklanıyor. Bu özelliğin sadece Apple tarafından onaylanan uygulamaların erişiminde olduğu ve zararlı yazılımların istismarının bu şekilde önlenmeye çalışıldığı belirtiliyor.

Ancak güvenlik araştırmacısı Wardle, geçen yılki zafiyetin hedef sistem üzerinde güvenlik uyarı pop-up’larını kullanıcı etkileşimi veya izni gerekmeden sanal olarak kapatmayı sağlayacak zararlı yazılımların kurulmasına izin verdiğini ortaya koymuştu. Apple bu zafiyet açık edildikten birkaç hafta sonra yama yayınladı ancak Wardle bir kez daha Synthetic Clicks özelliğini istismar eden uygulamaların kullanıcının açık bir iznini almadan gizli bilgilerine erişebildiğini gösteren yeni bir metodu public olarak açıkladı.

Wardle, bu açıklığın macOS’un beyaz listeye alınmış olan uygulamaların bütünlüğünü kontrol eden mekanizmasındaki bir denetleme hatasından kaynaklandığını belirtiyor.

Güvenlik araştırmacısı, bu açıklığın istismar edilebilmesi için siber suçlunun macOS bilgisayara uzak erişiminin olması veya zararlı bir uygulamayı kurmuş olması gerektiğinden dolayı bu zafiyeti ikinci safha bir saldırı olarak nitelendiriyor. Wardle bulguları Apple’a geçen hafta raporladığını, Apple’ın raporu aldığını açıkladığını ancak yamayı ne zaman duyuracağı konusunda bilgi vermediğini belirtiyor.

KAYNAKÇA

1- ByeBear 

2- GoldBrute

3- Synthetic Click

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog