EN
EN

2019 33. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

33.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

GOOGLE TÜM WİNDOWS SÜRÜMLERİNİ ETKİLEYEN 20 YILIK YAMASIZ BİR AFİYETİ AÇIKLADI

TARİH: 13 Ağustos 2019

Bir Google güvenlik araştırmacısı, Microsoft Windows XP’den en son Windows 10’a kadar Windows’un tüm sürümlerini etkileyen, 20 yıllık, henüz yamalanmamış kritik bir güvenlik açığının ayrıntılarını açıkladı.

Güvenlik açığı, MSCTF istemcileri ve sunucusunun birbiriyle iletişimi sırasında var olan bir zafiyetten dolayı ortaya çıkar, bu da düşük yetkide veya korumalı alanda olan bir uygulamanın daha yüksek yetkili bir uygulamaya veri okuma ve yazma izni verir. MSCTF, Windows işletim sisteminin Metin Hizmetleri Çerçevesinde (TSF) giriş yöntemleri, klavye düzenleri, metin işleme ve konuşma tanıma gibi işlevleri yöneten bir modüldür.

Google'ın Proje Sıfır Ekibinden Tavis Ormandy , bu etkileşim için erişim kontrolü veya herhangi bir kimlik doğrulaması bulunmadığından herhangi bir uygulama, herhangi bir kullanıcı ve hatta sanal alan işlemlerinin yapabileceğini keşfetti. Ormandy, sorunun Windows 10'da SYSTEM ayrıcalıkları elde etmek için nasıl kullanılabileceğini gösteren bir kanıt kanıtı videosu da yayınladı. Bunun yanı sıra, CTF protokolünün araştırmacıya göre varsayılan bir konfigürasyonda kullanılabilecek birçok bellek bozulması kusurunu da içerdiği bildiriliyor. Araştırmacı, Github'da, Windows CTF protokolünde birçok kritik güvenlik sorununu geliştirmek için kullandığı özel bir açık kaynaklı " CTF Keşif Aracı " nı da piyasaya sürdü.

Ormandy, bu yılın Mayıs ayı ortalarında bulgularını Microsoft'a sorumlu bir şekilde bildirdi ve Microsoft, bildirildikten sonraki 90 gün içinde sorunu çözemedikten sonra ayrıntıları kamuoyuna sundu.

 [1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

WİNDOWS UZAK MASAÜSTÜ ZAFİYETLERİNE 4 YENİ KRİTİK ZAFİYET EKLENDİ

TARİH: 13 Ağustos 2019

Windows işletim sisteminin desteklenen herhangi bir sürümünü kullanıyorsanız, Microsoft’un son güvenlik güncellemelerini hemen yüklemeniz gerekmektedir.

Windows işletim sistemi, Uzak Masaüstü Hizmetlerinde yakın zamanda keşfedilen 'BlueKeep' RDP güvenlik açığına benzer dört kritik kritik, uzaktan kod yürütme güvenlik açığı keşfedildi. Microsoft'un güvenlik ekibinin tarafından keşfedilen dört güvenlik açığının (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 ve CVE-2019-1226) tümü, herhangi bir kullanıcı etkileşimi gerektirmeden, kimliği doğrulanmayan, uzaktaki saldırganlar tarafından etkilenen bir bilgisayarın kontrolünü ele geçirmek için istismar edilebilir. BlueKeep RDP'nin kusurunda olduğu gibi, yeni keşfedilen dört güvenlik açığının tümü de endişe vericidir ve kendini savunmasız bir bilgisayardan diğerine otomatik olarak yaymak için potansiyel kötü amaçlı yazılımlar tarafından kullanılabilir. İlk iki güvenlik açığı Windows işletim sisteminin tüm desteklenen sürümlerini etkilese de, ikinci hata kümesi (1222 ve 1226) yalnızca Windows 10 ve Windows Server Editions'ı etkiler. Bunun yerine, eskiden Terminal Hizmetleri olarak bilinen Uzak Masaüstü Hizmetlerinde bulunan güvenlik açıkları, hedefli bir sisteme RDP protokolü üzerinden özel hazırlanmış istekler gönderilerek, kimliği doğrulanmamış, uzaktaki saldırganlar tarafından kullanılabilir.

Microsoft Ağustos ayı güvenlik güncellemelerin de bu dört kritik zafiyetin yanında 64’ü kritik olan 89 güvenlik açığı için yamalar yayınlanmıştır. 2019 Ağustos ayı güvenlik güncelleştirmeleri, Internet Explorer, Edge, Office, ChakraCore, Visual Studio, Çevrimiçi Hizmetler ve Active Directory Microsoft Dynamics dâhil olmak üzere Windows'un ve desteklenen diğer Microsoft ürünlerinin çeşitli sürümleri için yamaları içerir.

Kullanıcılara ve sistem yöneticilerine, siber suçluları ve bilgisayar korsanlarını bilgisayarlarının kontrolünü almaktan uzak tutmak için en kısa zamanda en son güvenlik düzeltme eklerini uygulamaları önerilir. En son güvenlik güncellemelerini yüklemek için, Ayarlar → Güncelleme ve Güvenlik → Windows Güncelleme → Bilgisayarınızdaki güncellemeleri kontrol et seçeneğine gidebilir veya güncellemeleri manuel olarak yükleyebilirsiniz.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

8 YENİ HTTP/2 UYGULAMA HATASI WEB SİTELERİNİ DOS SALDIRILARINA MARUZ BIRAKIYOR

TARİH: 14 Ağustos 2019

HTTP ağ protokolünün en son sürümü olan çeşitli HTTP/2, Apache, Microsoft'un IIS ve NGINX gibi en popüler web sunucusu uygulamalarını etkileyen çoklu güvenlik açıklarına karşı savunmasız kalmıştır.

Mayıs 2015'te başlatılan HTTP/2, sayfa yüklerini hızlandırarak daha iyi güvenlik ve daha iyi çevrimiçi deneyim için tasarlanmıştır. Bugün, yüz milyonlarca web sitesi veya İnternet'teki tüm sitelerin yüzde 40'ı HTTP/2 protokolünü kullanarak çalışıyor. 

Netflix'ten Jonathan Looney ve biri Google’dan Piotr Sikora tarafından keşfedilen toplam yedi tane yüksek önemde HTTP/2 güvenlik açığı, kötü niyetli girdilerle uğraşan kaynakların tükenmesi nedeniyle, bir müşterinin sunucunun sıra yönetimi kodunu aşırı yüklemesine izin veriyor. Bu güvenlik açıkları, HTTP/2'nin güvenlik açığı olan HTTP/2 uygulamasıyla çalışan ve Web sunucusu üzerinde çalışan milyonlarca çevrimiçi hizmete ve web sitesine yapılan saldırılara neden olmak için kullanılabilir.

Aşağıda listelenen güvenlik açıklarının çoğu, HTTP/2 taşıma katmanında çalışır:

- CVE-2019-9511 — HTTP/2 "Data Dribble"
- CVE-2019-9512 — HTTP/2 "Ping Flood"
- CVE-2019-9513 — HTTP/2 "Resource Loop"
- CVE-2019-9514 — HTTP/2 "Reset Flood"
- CVE-2019-9515 — HTTP/2 "Settings Flood"
- CVE-2019-9516 — HTTP/2 "0-Length Headers Leak"
- CVE-2017-9517 — HTTP/2 "Internal Data Buffering"
- CVE-2019-9518 — HTTP/2 "Request Data/Header Flood"

Bildirilen HTTP/2 kusurlarını ifşa etmek için Google ve CERT Koordinasyon Merkezi ile birlikte çalışan Netflix güvenlik ekibi, Mayıs 2019’da çeşitli HTTP/2 sunucu uygulamalarında sekiz güvenlik açığından yedi tanesini keşfetti ve onları etkilenen satıcı ve sağlayıcıların her birine sorumlu olarak bildirdi. CERT’e göre, etkilenen satıcılardan (NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js, ve Envoy proxy) birçoğu zaten güvenlik düzeltme ekleri ve öneriler yayınladı.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

İKİ KRİTİK LİBREOFFICE KUSURU DÜZELTİLDİ

TARİH: 16 Ağustos 2019

LibreOffice kullanıyorsanız, LibreOffice uygulamanızı bir kez daha güncellemeniz gerekmektedir. LibreOffice, açık kaynaklı ofis yazılımının en yeni 6.2.6 / 6.3.0 sürümünü, saldırganların daha önce ele alınan iki güvenlik açığı için düzeltme eklerini atlamasına izin verebilecek üç yeni güvenlik açığını gidermek üzere yayımladı.

LibreOffice, Microsoft Office paketinin en popüler ve açık kaynaklı alternatiflerinden biridir ve Windows, Linux ve macOS sistemlerinde kullanılabilir.

LibreOffice 'in geçen ay yamalamaya çalıştığı CVE-2019-9848 olarak tespit edilen iki güvenlik açığından biri, varsayılan olarak LibreOffice ile birlikte gelen LibreLogo'yu etkileyen bir kod yürütme hatasıydı. Yayınlanan güvenlik güncellemesi yetersiz kaldı çünkü iki ayrı güvenlik araştırmacısı iki yeni güvenlik zafiyetinden yararlanarak saldırıyı yedinden etkinleştirdi. Uzaktaki bir saldırgan bu üç güvenlik açığından başarıyla yararlanarak, saldırganı yalnızca kötü amaçlı hazırlanmış bir belge dosyasını açmaya ikna ederek hedeflenen bir bilgisayarda kötü amaçlı komutları sessizce çalıştırabilir.

LibreOffice kullanıcılarının bu güvenlik açıklarından yararlanan herhangi bir saldırıya maruz kalmamak için ofis yazılımlarını en son 6.2.6/6.3.0 sürümüne güncellemeleri önerilir.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

KAYNAKÇA

  1. WİNDOWS20
  2. WİNDOWS4
  3. HTTP/2
  4. LİBREOFFİCE