EN
EN

2020 16. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

16.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Microsoft Kritik Zero-Day Zafiyetleri İçin Yama Yayınladı

TARİH: 14 Nisan 2020

Microsoft, Windows işletim sistemlerinin desteklenen tüm sürümlerine 17’si kritik ve 96’sı yüksek önem derecesine sahip toplam 113 güvenlik zafiyeti için güvenlik güncelleştirmeleri yayınladı. Güvenlik açıklarından ikisinin siber saldırganlar tarafından aktif olarak sömürüldüğü bildirildi.

Microsoft’un geçen aylarda duyurduğu, Windows tarafından kullanılan Adobe Font Manager Library’de bulunmaktadır. CVE-2020-1020 kodu ile paylaşılan ve Microsoft Windows işletim sistemlerinde bulunan uzaktan kod yürütme açığı, yazı tipini (font) (Adobe Type 1 PostScript biçimi) Windows Adobe Type Manager Kütüphanesi tarafından yanlış işlemesi sonucunda oluşmaktadır. Başka bir uzaktan kod yürütme açığı (CVE-2020-0938) ise kötü amaçlı bir OpenType fontunun Adobe Type Manager Kütüphanesi tarafından işlenmesi sonucunda tetiklenmektedir. Bu zero-day güvenlik açıklarının her ikisi de Google Project Zero ile çalışan araştırmacılar tarafından Mart ayının son haftasında Microsoft’a bildirilmiştir.

En son güncelleştirme ile Microsoft Office SharePoint’i etkileyen 5 kritik zafiyet için de yamalar yayımlanmıştır; bunların 4’ü yazılımın bir uygulama paketinin kaynak işaretlemesini denetlememesi nedeniyle oluşmakta ve saldırganların zafiyetli makinelerde rastgele kod yürütmesine izin vermektedir. Ayrıca zafiyetli bir SharePoint sunucusuna zararlı istekler gönderilerek kimliği doğrulanmış bir saldırgan tarafından siteler arası betik çalıştırma (XSS) zafiyeti de tetiklenmektedir (CVE-2020-0927).

CVE-2020-0910 olarak izlenen ve kritik olarak derecelendirilen, Windows Hyper-V’yi etkileyen, konuk sanal makinenin hiper yöneticiden taviz vermesine, konuk sanal makineden ana makineye kaçmasına veya bir konuk sanal makineden başka bir konuk sanal makineye kaçmasına izin veren önemli başka bir açık var.

Windows kullanıcıları ve sistem yöneticilerine siber suçluları ve bilgisayar korsanlarını bilgisayarlarının kontrolünü ele geçirmekten alıkoymak için en son güvenlik yamalarını en kısa zamanda uygulamalarını şiddetle tavsiye edilmektedir. En son Windows güvenlik güncelleştirmelerini yüklemek için, Ayarlar → Güncelleme ve Güvenlik → Windows Update → PC'nizde güncellemeleri kontrol et seçeneğine gidebilir veya güncellemeleri manuel olarak yükleyebilirsiniz.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

 

Haber Yazısı 2

49 Yeni Google Chrome Uzantısı Ele Geçirilmiş Kripto Para Cüzdanlarını Yakaladı

TARİH: 15 Nisan 2020

Google, Web Mağazası'ndan kripto para birimi cüzdanı gibi maskelenen ancak hassas bilgileri sifonlamak ve dijital para birimlerini boşaltmak için kötü amaçlı kod içeren 49 Chrome tarayıcı uzantısını devre dışı bıraktı

Potansiyel olarak Rus tehdit aktörlerinin çalışmaları olan 49 tarayıcı eklentisi MyCrypto ve PhishFort'tan araştırmacılar tarafından belirlendi.

Rahatsız edici uzantılar Google'a bildirildikten sonraki 24 saat içinde kaldırılsa da MyCrypto'nun analizi, sonraki aylarda hızlanmadan önce Şubat 2020'de Web Mağazası'nda görünmeye başladıklarını gösterdi.

Buna ek olarak, tüm uzantılar benzer şekilde çalıştı, tek fark, kimlik avı verilerini alan 14 benzersiz komut ve kontrol (C2) sunucusundan etkilenen kripto para cüzdan cüzdanlarıydı. (Defter, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus ve KeepKey gibi)

Veri çalma uzantıları, Chrome Web Mağazası'nda düzenli olarak gerçekleşti ve Google'ın keşfedildikleri anda bunları temizlemesine yol açtı. Şubat ayında şirket, adware sunarken ve kullanıcıların tarama etkinliklerini saldırganların kontrolü altında C2 sunucularına gönderdikten sonra 500 kötü amaçlı uzantıyı kaldırdı.

Kötü amaçlı bir tarayıcı uzantısının kurbanı olduğunuzu ve para kaybettiğinizden şüpheleniyorsanız CryptoScamDB’de bir rapor göndermeniz önerilir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

RubyGems Kütüphanelerinde 700'den Fazla Kötü Amaçlı Yazılım Bulundu

TARİH: 16 Nisan 2020

Geliştiriciler, kullanıma hazır yazılım bileşenlerini uygulamalarına ve hizmetlerine giderek daha fazla kucaklarken, tehdit aktörleri, bilgisayarlarını veya üzerinde çalıştıkları arka kapı yazılım projelerini tehlikeye atmak amacıyla kötü amaçlı paketleri dağıtmak için RubyGems gibi açık kaynaklı depoları kötüye kullanıyorlar.

En son araştırmada, ReversingLabs'taki siber güvenlik uzmanları, Ruby programlama dilinde yazılmış paketler olan 700'den fazla zararlı mücevher ortaya çıkardı ve tedarik zinciri saldırganlarının yakın zamanda RubyGems deposu üzerinden dağıldıklarını yakaladılar.

Yapılan incelemelere göre meşru Ruby kütüphanelerinin adı ve çalışma şekli zararlı yazılımlarda kullanılmak üzere kopyalanmıştır. İncelenen Ruby paketlerinde fazladan “aaa.png” adlı bir dosya tespit edilmiştir. Bu dosyanın bir PNG görüntüsü olmadığı, çalıştırılabilir Windows PE dosyası olduğu gerçekleştirilen incelemelerde görülmüştür.

Kötü niyetli kampanya, yazım hatası tekniğinden yararlandı Saldırganlar, farkında olmayan geliştiricilerin adı yanlış yazacağını ve yanlışlıkla kötü amaçlı kitaplığı yükleyeceğini umarak kasıtlı olarak yanlış paketler yükledi.

Bu tip yazım saldırıları ilk defa ortaya çıkmadı. Python Paket Dizini (PyPi) ve GitHub'a ait Node.js paket yöneticisi npm gibi popüler depo platformları, kötü amaçlı yazılım dağıtmak için etkili saldırı vektörleri olarak ortaya çıkmıştır. Paketin sunulması, gözden geçirilmesi ve onaylanması sırasında yapılan inceleme eksikliği göz önüne alındığında, kötü amaçlı yazılım yazarlarının mevcut paketlere çok yakın adlara sahip Truva atı kütüphaneleri yayınlaması kolaydı. Kütüphaneleri istemeden projelerine indiren geliştiricilerin doğru paket adlarını kullanıp kullanmadığını ve yanlışlıkla yazılan sürümleri kullanmadığını kontrol etmeleri şiddetle önerilir.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz

KAYNAKÇA

  1. microsoft
  2. chrome
  3. rubygems