EN
EN

2019 50. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

50.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Snatch Ransomware, Antivirüs Programını Atlatmak için Windows'u Güvenli Modda Yeniden Başlatıyor

TARİH: 10 Aralık 2019

Siber güvenlik araştırmacıları, virüs bulaşmış Windows bilgisayarlarını Güvenli Mod'da yeniden başlatan ve daha sonra antivirüs algılamasını önlemek için kurbanların dosyalarını şifreleyen Snatch Ransomware'in yeni bir versiyonunu buldular.

Snatch'i diğerlerinden farklı ve tehlikeli kılan, fidye yazılımının aynı zamanda bir veri hırsızlığı olmasıdır. Snatch, saldırganların hedef kuruluşlardan çok miktarda bilgi çalmalarına izin veren sofistike bir veri çalma modülü içerir. Snatch, platformlar arası uygulama geliştirme için bilinen bir programlama dili olan Go'da yazılmasına rağmen, yazarlar bu fidye yazılımını yalnızca Windows platformunda çalışacak şekilde tasarladılar. Araştırmacılar, "Snatch, Windows'un en yaygın sürümlerinde, 7'den 10'a, 32 ve 64 bit sürümlerde çalışabilir şeklinde açıklama yaptılar.

Fidye yazılımı saldırılarını önlemek için, kuruluşlara kritik hizmetlerini kamuya açmamalarını ve halka açık İnternet'i güvenlikli bağlantı noktalarından kullanmaları ve gerekirse çok faktörlü kimlik doğrulaması ile güçlü bir parola kullanarak güvenlik altına almaları önerilir.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Adobe, Kritik Güvenlik Açıkları için Yamalar Yayınladı

TARİH: 10 Aralık 2019

Adobe bugün, toplam 25 yeni güvenlik açığını düzeltmek için yaygın olarak kullanılan dört yazılımı için (Adobe Acrobat ve Reader, Photoshop CC, ColdFusion ve Brackets) güncellemeler yayımladı. Adobe Acrobat ve Reader; Windows ve macOS işletim sistemleri için yapılan yazılım güncellemesi, 14'ü kritik ve geri kalanının derecesi önemli olan toplam 21 güvenlik açığına yöneliktir.

Başarılı bir istismarın ardından, Adobe Acrobat ve Reader yazılımındaki tüm kritik güvenlik açıkları rasgele kod yürütme saldırılarına yol açarak saldırganların hedeflenen sistemleri tam olarak kontrol altına almalarını sağlamaktadır.

Şirket, kullanıcıların sistemlerini ve işletmelerini siber saldırılara karşı korumak için yayınlanan yamaları yüklemeleri gereken her platform için güvenlik açığı bulunan dört yazılımın güncellenmiş versiyonlarını yüklemelerini önerdi.

Sisteminiz henüz yeni güncellemeyi otomatik olarak algılamadıysa, Adobe yazılımınızda "Yardım→ Güncellemeleri Kontrol Et" i seçerek güncellemeyi manuel olarak kurmalısınız.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Son Microsoft Güncelleştirmesi: Windows 0.Gün Saldırısı Altında

TARİH: 11 Aralık 2019

Microsoft'un aralık ayındaki güvenlik güncelleştirmeleri, 7'si kritik, 27'si önemli, 1'i orta ve biri önemsiz olan toplam 36 güvenlik açığı içeren yamayı içermektedir. 

CVE-2019-1458 olarak izlenen ve önemli olarak derecelendirilen, 0.gün Win32k ayrıcalık yükseltme güvenlik açığı WizardOpium Operasyonunda hedeflenen sistemlerde ayrıcalık yükseltmek için kullanıldı.

Windows Hyper-V güvenlik açığı (CVE-2019-1471), konuk sanal makinesinin hipervizörü tehlikeye atmasına, konuk sanal makinesinden ana bilgisayara kaçmasına veya bir misafir sanal makinesinden diğer konuk sanal makinesine kaçmasına izin veriyor.

CVE-2019-1462 olarak takip edilen ve önemli olarak derecelendirilen bir diğer önemli güvenlik açığı, kurbana özel hazırlanmış bir sunum dosyasını açmaya ikna ederek, hedeflenen bir bilgisayarda rasgele kod çalıştırmak için kullanılabilecek PowerPoint yazılımında bulunmaktadır. Bu ay Microsoft tarafından eklenen ve önemli olarak işaretlenen diğer güvenlik açıkları aşağıdaki Microsoft ürün ve hizmetlerinde bulunmaktadır:

- Windows İşletim Sistemi
- Windows Çekirdeği
- Windows Uzak Masaüstü Protokolü (RDP)
- Microsoft Word
- Microsoft Excel
- Microsoft SQL Server Raporlama Hizmetleri
- Microsoft Access yazılımı
- Windows GDI bileşeni
- Win32k
- Windows Hyper-V
- Windows Yazıcı Hizmeti
- Windows COM Sunucusu
- Windows Media Player
- Windows OLE
- VBScript
- Visual Studio Live Paylaşımı
- Android için Microsoft Kimlik Doğrulama Kütüphanesi
- Microsoft Defender
- Skype Kurumsal ve Lync
- Visual Studio için git

Bu güvenlik açıklarının çoğu bilginin ifşasına ve ayrıcalık yükselmesine izin verirken, bazıları da uzaktan kod yürütme saldırılarına neden olur, diğerleri siteler arası komut dosyası çalıştırma (XSS), güvenlik özelliği atlama, sızma ve hizmet reddi saldırılarına izin verir. Windows kullanıcılarına ve sistem yöneticilerine, en son yayınlanan güvenlik yamalarını uygulamaları önemle tavsiye edilir.
 

Windows güvenlik güncelleştirmelerini yüklemek için, Ayarlar → Güncelleme ve Güvenlik → Windows Güncelleme → Bilgisayarınızdaki güncellemeleri kontrol et seçeneğine başvurabilir veya güncellemeleri manuel olarak yükleyebilirsiniz.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

Yeni PlunderVolt Saldırısı CPU Voltajını Düşürterek Intel SGX Enclaves’i Hedefliyor

TARİH: 11 Aralık 2019

Bir siber güvenlik araştırmacısı ekibi, modern Intel CPU'larda donanımdan izole edilmiş güvenilir bir alan olan Intel SGX'i ele geçirmek için başka bir teknik olduğunu kanıtladılar.

Plundervolt adı verilen ve CVE-2019-11157 olarak izlenen saldırı, modern işlemcilerin, gerektiğinde frekans ve voltajın ayarlanmasına izin vermekte; araştırmacılara göre, saygısız biti, bellekte hatalar meydana getirmek için kontrollü bir şekilde değiştirilebilir.

Bit çevirme Rowhammer saldırısı için yaygın olarak bilinen bir olgudur. Bit çevirme, saldırganların zafiyetli bellek hücrelerinin değerlerini 1'den 0'a değiştirerek ya da tam tersi şekilde çevrilerek komşu bellek hücrelerinin elektrik yükünü azaltarak ele geçirdikleri bir saldırı türüdür.

Bununla birlikte, Yazılım Koruma Uzantıları (SGX) enclave belleği şifreli olduğundan, Plundervolt saldırısı, CPU'ya hataları belleğe yazılmadan önce enjekte ederek bit çevirme fikrinden yararlanır.

Skylake jenerasyonuyla başlayan tüm SGX özellikli Intel Core işlemcileri etkileyen Plundervolt saldırısı, 2019'da Birmingham Üniversitesi, Graz Teknoloji Üniversitesi ve KU Leuven'den altı Avrupalı ​​araştırmacıdan oluşan bir ekip tarafından keşfedildi ve özel olarak Intel'e rapor edildi.

Araştırmacıların bulgularına cevaben, Intel dün mikro kod ve BIOS güncellemelerini yayınladı ve voltajı varsayılan ayarlara sabitledi. Diğer yüksek ve orta ciddiyet zafiyetler için de güncelleştirmeler yayınlandı.

Plundervolt saldırısından etkilenen CPU modellerinin listesi:
 

- Intel 6., 7., 8., 9. ve 10. Nesil Çekirdek İşlemciler
- Intel Xeon İşlemci E3 v5 ve v6
- Intel Xeon İşlemci E-2100 ve E-2200 Aileleri
- Etkilenen ürünlerin tam listesi için Intel'in güvenlik danışmanı INTEL-SA-00289'a başvurabilirsiniz.

GitHub'da bir kavram kanıtı (PoC) yayınlamanın yanı sıra, ekip aynı zamanda SSS ve ayrıntılı teknik bir makale içeren [PDF] özel bir web sitesi yayınladı. Saldırı hakkındaki ayrıntılı bilgileri bilmek için kontrol edebilirsiniz.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 5

Teknoloji ve Sağlık Şirketlerini Hedefleyen Ransomware

TARİH: 11 Aralık 2019

Zeppelin adındaki Vega ransomware ailesinin yeni bir çeşidi, Avrupa, Amerika Birleşik Devletleri ve Kanada'daki teknoloji ve sağlık şirketlerini hedeflediği tespit edildi.

Bununla birlikte, Rusya'da veya Ukrayna, Beyaz Rusya ve Kazakistan gibi bazı eski SSCB ülkelerinde ikamet ediyorsanız, fidye yazılımı bu bölgelerde bulunan makinelerde faaliyetlerini sonlandırdığı bilinmeltedir.

Hacker News ile paylaşılan BlackBerry Cylance raporuna göre, Zeppelin, mağdurların veya saldırganların gereksinimlerine bağlı olarak çeşitli özellikleri etkinleştirmek veya devre dışı bırakmak üzere kolayca özelleştirilebilen Delphi tabanlı, yüksek düzeyde yapılandırılabilir bir fidye yazılımıdır.

Araştırmacılar ayrıca blog yazısında uzlaşma göstergelerini (IoC) paylaştı. Yazma sırasında, virüsten koruma çözümlerinin neredeyse yüzde 30'u bu özel ransomware tehdidini tespit edemedi.

[5] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 6

Elementor ve Beaver Addons'taki Hatalar Wordpress Sitelerinin Haclenmesine Sebep Oluyor

TARİH: 13 Aralık 2019

Ultimate Addons for Beaver Builder veya Ultimate Addons for Elementor kullanıyorsanız bunları en son sürümlerle güncellemediyseniz, web siteniz kolayca saldırıya uğrayabilir.

Güvenlik araştırmacıları, yaygın olarak kullanılan premium WordPress eklentilerinde, uzaktaki bir saldırganın herhangi bir parola gerektirmeden sitelere yönetimsel erişim elde etmelerine olanak tanıyan, kritik ve kullanımı kolay bir kimlik doğrulaması atlama güvenlik açığı buldular.

Yazılım geliştirme şirketi Brainstorm Force tarafından yapılan her iki zafiyetli eklenti, şu anda Elementor ve Beaver Builder çerçevelerini kullanarak yüz binlerce WordPress web sitesine güç veriyor ve web sitelerinin yöneticilerine ve tasarımcılarına web sitelerinin işlevselliğini daha fazla widget, modül, sayfa şablonu ile genişletmelerinde yardımcı oluyor.

MalCare, eklentilerin aşağıda listelenen sürümlerini etkileyen bu güvenlik açığını tespit etti ve aynı gün içinde geliştiricilere bildirdi, bu sayede sorunu hızla çözdü ve her ikisi de yalnızca 7 saat içinde yamalı sürümlerini yayınladı.
 

- Elementor İçin Ultimate Eklentileri <= 1.20.0
- Beaver Builder için En Son Eklenenler <= 1.24.0

Kimlik doğrulama baypas güvenlik açığı, "Ultimate Addons for Elementor version 1.20.1" ve "Ultimate Addons for Beaver Builder version 1.24.1," sürümleriyle birlikte giderildi. Etkilenen web sitelerinin en kısa sürede bu sürümleri yüklemesi önerilir.

[6] Haber ayrıntılarına buradan ulaşabilirsiniz.

KAYNAKÇA

  1. snatch
  2. adobe
  3. microsoft
  4. plundervolt
  5. zeplin
  6. wordpress