EN
EN

2019 32. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

32.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

KDE LİNUX MASAÜSTÜ BİLGİSAYARLARI KÖTÜ AMAÇLI DOSYALARI AÇMADAN BİLE HACKLENEBİLDİ

TARİH: 7 Ağustos 2019

Linux işletim sisteminizde bir KDE masaüstü ortamı kullanıyorsanız, çok dikkatli olmanız ve bir süre ".desktop" veya ".directory" dosyasını indirmekten kaçınmanız gerekmektedir.

KDE Plazma Linux kullanıcıları için en popüler açık kaynaklı widget tabanlı masaüstü ortamlarından biridir ve Manjaro, openSUSE, Kubuntu ve PCLinuxOS gibi birçok Linux dağıtımında varsayılan bir masaüstü ortamıdır.

Bir siber güvenlik araştırmacısı, KDE yazılım çerçevesinde kötü niyetli hazırlanmış ‘.desktop’ ve ‘.directory’ dosyalarının bir kullanıcının bilgisayarında rasgele kod çalıştırmasını -kurbanı gerçekten açmasını gerektirmeksizin- çalıştırabilmelerini sağlayan yamalı bir sıfır gün güvenlik açığı tespit etti. Güvenlik açığını tespit eden güvenlik araştırmacısı Dominik Penner,  KDE 4/5 Plasma masaüstünde KDE'nin  ‘.desktop’ ve ‘.directory’ dosyalarını işleme biçimi nedeniyle bir komut enjeksiyon zafiyeti bulunduğunu bildirdi. 5.60.0 ve altındaki KDE Frameworks paketini etkileyen bu kusuru kullanmak basittir ve saldırganın KDE kullanıcısını kötü niyetli bir ‘.desktop’ veya ‘.directory’ dosyası içeren bir arşiv indirmesi için aldatması gerekebileceği için bazı sosyal mühendislik işleri içerir.

KDE geliştiricileri, KDE'nin esnek yapılandırma için sağladığı kasıtlı bir özellik olan KConfig dosyalarındaki destekleyici kabuk komutlarının tüm özelliğini kaldırarak bu güvenlik açığını düzeltmiştir. Geliştiricilere göre, KConfig, KDE kullanıcılarının "bu tür dosyaları kurmasını ve kullanıcı tarafından kasıtlı hareket etmeden bile kod çalıştırılmasını" sağlamak için suistimalciler tarafından kötüye kullanılabilir.

Kullanıcıların KDE Altyapıları 5'in 5.61.0 sürümüne güncelleştirilmeleri, kdelibs kullanıcılarının KDE Proje danışmanlığında sağlanan kdelibs 4.14 için düzeltme ekini uygulamaları önerilir.

[1]Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

BİNANCE KYC VERİ SIZINTISI

TARİH: 7 Ağustos 2019

Malta merkezli kripto para birimi değişimi Binance, binlerce müşterisinin KYC (Müşterinizi Tanıyın) verilerini elde ettiğini iddia eden bir dolandırıcının fidye talebinin kurbanı oldu. Kimliği belirsiz saldırgan, şirketin 300 Bitcoin (bugünkü döviz değerinde yaklaşık 3.5 milyon dolara eşdeğer olan) ödememesi durumunda, 10.000 kullanıcı KYC bilgisini serbest bırakmak için dünyanın en büyük kripto para birimi değiş tokuşunu tehdit etti. Korsanlığın gerçekliği henüz teyit edilmemiş olmasına rağmen, pasaport ve seçmen kimlikleri gibi kimlik kartlarına sahip kişilerin fotoğrafları çeşitli çevrimiçi kanallarda dolaşıyor.

Binance, olaya cevaben, “tanımlanamayan bir bireyin, Binance KYC verilerine benzerlik gösteren 10.000 fotoğrafın paylaşımını durdurma karşılığında 300 BTC talep ederek, bizi tehdit ve taciz ettiğini” doğrulayan resmi bir açıklama yayınladı. Binance, şirketin bu görüntülerin meşruiyetini araştırdığını ve fidyeyi ödemeyi reddettiğini ve bunun sonucunda talebin arkasındaki tanımlanamayan kişinin verileri çevrimiçi ve medya kuruluşlarına dağıtmaya başladığını söyledi.

Saldırganın 10.000'den fazla kişiyi çeken bir Telegram grubu oluşturduğu ve Fransa, Türkiye, Amerika Birleşik Devletleri, Japonya, Rusya ve diğer ülkelerden pasaport ve kimlik belgeleri tutan kişilerin 400'den fazla görüntüsünü paylaştığı anlaşılıyor.

Bununla birlikte, Binance'e göre, saldırganın Telegram grubuna gönderilen görüntüler, brifingin kendi iç bilgileri için kullandığı dijital filigrandan yoksun, orijinalliği hakkında şüpheler ekliyor. Ek olarak, döviz bürosu ayrıca, şantajcının kimliği ile ilgili bilgi sağlayan herkese, 290.000 $ değerinde 25 bitcoin ödülü de sunuyor.

Binance CEO'su Changpeng Zhao ayrıca Twitter'dan, kullanıcıların şu anda konuyu aradıklarını ve kullanıcılarını kısa süre içinde güncelleyeceğini söyleyerek "KYC sızıntısı" FUD'una (korku, belirsizlik, şüphe) düşmemelerini söyleyen bir açıklama yaptı.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

REVERSE RDP SALDIRISI MICROSOFT HYPER-V TEKNOLOJİSİNİ ETKİLİYOR

TARİH: 8 Ağustos 2019

Bu yılın başlarında, araştırmacılar, Microsoft'un Windows yerleşik RDP istemcisinde, kötü amaçlı bir RDP sunucusunun bir istemci bilgisayarı tehlikeye atmasına izin verebilecek clipboard hijacking ve path-traversal sorunlarını açıkladılar. Şirket zafiyetin bildirilmesinden sonra Zehirli RDP güvenlik açığı olarak bilinen zafiyeti kabul etti fakat ele almadı.

CheckPoint'teki güvenlik araştırmacısı Eyal Itkin'in aynı zamanda Microsoft'un Hyper-V teknolojisini de etkileyen sorunu bulmasının ardından Microsoft'un, bu güvenlik açığını (CVE-2019-0887) Temmuz ayındaki güncellemede sessizce ele aldığı ortaya çıktı

Microsoft Hyper-V, Windows işletim sistemi ile yerleşik olarak gelen ve kullanıcıların sanal makinelerle aynı anda birden fazla işletim sistemi çalıştırmalarını sağlayan bir sanallaştırma teknolojisidir. Microsoft'un Azure bulut hizmeti ayrıca sunucu sanallaştırması için Hyper-V kullanıyor. Diğer sanallaştırma teknolojilerine benzer şekilde Hyper-V, kullanıcıların yerel ve uzak sanal makinelerini (VM) yönetmelerini sağlayan grafiksel bir kullanıcı arayüzü ile birlikte gelir.

Microsoft, araştırmacıları CVE-2019-0887 olarak tanımlanan bu kusurun Hyper-V ile ilgili etkilerini açıklamasından hemen sonra güvenlik açığını düzeltmeye karar verdi. Zafiyet kötü niyetli ya da tehlikeye atılmış bir konuk makinenin, ana bilgisayar kullanıcısının, her açılışta otomatik olarak çalıştırılacak olan Windows başlangıç ​​klasörüne kötü niyetli bir dosyayı bilmeden kaydetme konusunda kandırmasına izin verebilir.

Araştırmacılar Path-Traversal güvenlik açığı yamasını test etti ve onayladı ve tüm kullanıcılara RDP bağlantılarını ve ayrıca Hyper-V ortamlarını korumak için güvenlik yamasını yüklemelerini şiddetle tavsiye etti.

 [3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

40’I AŞKIN BİRÇOK SÜRÜCÜ, HACKER’LARIN WİNDOWS PC'LERE BACKDOOR YÜKLEMESİNE İZİN VEREBİLİR

TARİH: 11 Ağustos 2019

ASUS, Toshiba, Intel, NVIDIA, Huawei veya aşağıda listelenen diğer 15 satıcı tarafından üretilen bir cihaza veya donanım bileşenine sahipseniz, risk altında olabilirsiniz. Bir siber güvenlik araştırmacısı ekibi,  en az 20 farklı satıcıdan gelen 40'tan fazla sürücüde saldırganların hedef sistem üzerinde en yüksek yetkiye sahip olmasına izin verebilecek ve bazen kötü amaçlı yazılımları gizlice yükleyip, sistemde yılarca gizli kalmasına neden olabilecek, yüksek riskli güvenlik açıklarını keşfetti.

Gelişmiş saldırganlar için, bir sistemi ele geçirdikten sonra sitemde kalmanın sürdürülmesi en önemli görevlerden biridir ve bunu başarmak için mevcut donanım açıkları bazen önemli bir rol oynamaktadır. Bu bileşenlerden biri, genellikle sürücü veya donanım sürücüsü olarak bilinen bir aygıt sürücüsü, belirli bir donanım aygıtını kontrol eden ve bilgisayarın işletim sistemiyle doğru şekilde iletişim kurmasına yardımcı olan bir yazılım programıdır. Aygıt sürücüleri donanım ile işletim sistemi arasında oturduğundan ve çoğu durumda işletim sistemi çekirdeğine ayrıcalıklı erişime sahip olduğundan, bu bileşendeki güvenlik zayıflığı çekirdek katmanında kod yürütülmesine neden olabilir.

Yazılım ve donanım güvenliği firması Eclypsium'daki araştırmacılar tarafından keşfedilen yeni güvenlik açıklarından bazıları, çekirdek belleği, modele özgü kayıtları (MSR'ler), Kontrol Kayıtlarını (CR), Hata Ayıklama Kayıtlarını (DR) ve fiziksel belleği keyfi bir şekilde okuyabilir/yazabilir. Kullanıcı alanında çalışan kötü amaçlı yazılım, kurban makinesinde güvenlik açığı bulunan bir sürücüyü tehlikeye atmak için kolayca tarayabildiğinden, saldırganlar kendi güvenlik açığı olan sürücülerini kurmak zorunda kalmazlar; bu da sistem yöneticisi ayrıcalıkları gerektirir.

Araştırmacılar tarafından ortaya çıkarılan, aşağıda listelenen güvenlik açığı bulunan tüm sürücüler Microsoft tarafından sertifikalandırılmıştır.

- American Megatrends International (AMI)
- ASRock
- ASUSTeK Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor

Araştırmacılar, bu güvenlik açıklarını, Intel ve Huawei dâhil olmak üzere bir kısmı yama güncellemeleri yayınlamış ve bir güvenlik danışmanlığı yayınlamış olan etkilenen satıcılara bildirmiştir.  Bunun yanı sıra, araştırmacılar yakında GitHub'da, kullanıcıların sistemlerinde yüklü solucan deliği sürücülerini bulmaya yardımcı olacak, kavram kanıtı kodu, video gösterileri ve savunmasız sürücü ve araçlara bağlantılar içeren bir senaryo yayınlayacaklarına da söz verdiler.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

KAYNAKÇA

  1. KDE LİNUX
  2. BİNANCE
  3. REVERSE RDP
  4. BACKDOOR