EN
EN

2021 52. Hafta Siber Güvenlik Haberleri

31 Aralık 2021


SİBER GÜVENLİK GÜNDEMİ

52.Hafta Siber Güvenlik Haberleri

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Tür/Platform

25-12-2021

CVE-2021-45652

Sensitive Information

26-12-2021

CVE-2021-4168

Cross-Site Request Forgery (CSRF)

26-12-2021

CVE-2021-45664

XSS

28-12-2021

CVE-2021-43556

Stack-Based Buffer Overflow

28-12-2021

CVE-2021-43554

Out-of-Bounds Write

Aralık ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür/Platform

28-12-2021

Experts Detail Logging Tool of DanderSpritz Framework Used by Equation Group Hackers

Ransomware Attack / Windows

27-12-2021

New Android Malware Targeting Brazil's Itaú Unibanco Bank Customers

Capture sensitive information / Google Play Store

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Veri İhlali Tür/Platform

23-12-2021

Eureko Sigorta AŞ

Filtresiz rapor gönderimi

23-12-2021

GoDaddy.com, LLC (GoDaddy)

Kişisel veri erişimi

Yerel veri ihlal bildirimlerine buradan ulaşabilirsiniz.

Haber Yazısı 1

Microsoft Teams Yazılımındaki Yamasız Güvenlik Açıklıkları Tespit Edildi

TARİH: 22 Aralık 2021

Microsoft, geçtiğimiz mart ayının başlarında Teams iş iletişimi platformunda ortaya çıkan dört güvenlik açığından üçü için düzeltme yapmayacağını veya yamaları ileri bir tarihe iteceğini söyledi.

Açıklama, Berlin merkezli siber güvenlik firması Positive Security'den geliyor ve bağlantı önizleme özelliğinin uygulanmasının bir dizi soruna açık olduğunu tespit etti. Bu açıklar dahili Microsoft hizmetlerine erişmeye, bağlantı ön izlemesini yanıltmaya ve Android kullanıcıları için IP adreslerini sızdırmaya ve Teams uygulamalarını/kanallarını DoS saldırısına izin vermeye sebep oluyor.

Dört güvenlik açığından Microsoft'un, Android cihazlardan IP adresi sızmasına neden olan yalnızca birini ele aldığı söyleniyor ve teknoloji devi, (DoS) kusuru için bir düzeltmenin ürünün gelecekteki bir sürümünde dikkate alınacağını belirtti.

Kusurların başında, Microsoft'un yerel ağından bilgi toplamak için kullanılabilecek "/urlp/v1/url/info" (SSRF) güvenlik açığı yer alıyor. Ayrıca, ana bağlantıyı, önizleme görüntüsünü ve açıklamayı olduğu gibi tutarken, saldırganların kötü amaçlı bağlantıları gizlemesine ve gelişmiş kimlik avı saldırıları gerçekleştirmesine olanak tanırken önizleme bağlantı hedefinin herhangi bir kötü amaçlı URL'yi işaret edecek şekilde değiştirilebildiği bir sahtekarlık hatası da keşfedildi.

Teams'in Android sürümünü etkileyen DoS güvenlik açığı, meşru bir URL yerine geçersiz bir hedef içeren özel hazırlanmış bir bağlantı ön izlemesi içeren bir mesaj göndererek uygulamanın çökmesine neden olabilir. Sorunların sonuncusu, Android uygulamasını da etkileyen bir IP adresi sızıntısı ile ilgilidir. Positive Security, küçük resim URL'sini Microsoft'a ait olmayan bir alana yönlendirmek için bir bağlantı ön izlemesi içeren iletileri yakalayarak, bir kullanıcının IP adresine ve kullanıcı aracısı verilerine erişim elde etmenin mümkün olduğunu söyledi.

Positive Security'nin kurucu ortağı Fabian Bräunlein, "Keşfedilen güvenlik açıklarının sınırlı bir etkisi olsa da, hem bu kadar basit saldırı vektörlerinin görünüşte daha önce test edilmemiş olması hem de Microsoft'un kullanıcılarını bunlardan korumak için istekli veya kaynaklara sahip olmaması şaşırtıcı" dedi.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Kötü Amaçlı Yazılımların Gatekeeper Güvenliğini Atlamasına İzin Verebilecek macOS Hatası

TARİH: 24 Aralık 2021

Apple kısa süre önce macOS işletim sisteminde, bir tehdit aktörü tarafından "sayısız temel macOS güvenlik mekanizmasını" "önemsiz ve güvenilir bir şekilde" atlamak ve rastgele kod çalıştırmak için potansiyel olarak istismar edilebilecek bir güvenlik açığını düzeltti.

Güvenlik araştırmacısı Patrick Wardle, keşfi perşembe günü bir dizi tweet'te detaylandırdı. CVE-2021-30853 (CVSS puanı: 5.5) olarak izlenen sorun, sahte bir macOS uygulamasının Gatekeeper kontrollerini atlatabileceği ve bu uygulamaların yalnızca güvenilir uygulamaların çalıştırılabilmesini ve "app noter tasdiki” adı verilen otomatik bir süreçten geçmesini sağladığı bir senaryoyla ilgilidir.

Gordon Long of Box'ı kusuru bildirerek kredilendiren iPhone üreticisi, 20 Eylül 2021'de resmi olarak yayınlanan macOS 11.6 güncellemelerinin bir parçası olarak gelişmiş kontrollerle zayıflığı giderdiğini söyledi.

Spesifik olarak, hata yalnızca Gatekeeper'ı değil, aynı zamanda Dosya Karantinası ve macOS'un noter tasdik gereksinimlerini de aşarak, görünüşte zararsız bir PDF dosyasının yalnızca açarak tüm sistemi tehlikeye atmasına etkili bir şekilde izin verir. Wardle'a göre, sorunun kökü, imzasız, noter tasdikli olmayan komut dosyası tabanlı bir uygulamanın açık bir şekilde bir yorumlayıcı belirleyememesi gerçeğinden kaynaklanmaktadır ve bu da tam bir atlama ile sonuçlanmaktadır.

Bir Shebang yorumlayıcı yönergesinin- ör. #!/bin/sh veya #!/bin/bash — genellikle bir kabuk programını ayrıştırmak ve yorumlamak için kullanılır. Ancak bu uç durum saldırısında, bir düşman, Shebang hattının bir yorumlayıcı sağlamadan (yani #!) dahil edildiği bir uygulama oluşturabilir ve yine de herhangi bir uyarı vermeden komut dosyasını başlatmak için temel işletim sistemini alabilir.

Başka bir deyişle, tehdit aktörleri, Adobe Flash Player güncellemeleri veya Microsoft Office gibi meşru uygulamaların truva atlanmış sürümleri olarak kamufle edilebilecek sahte bir uygulamayı açmaları için hedeflerini kandırarak bu kusurdan yararlanabilir.

Bu, Gatekeeper sürecinde keşfedilen ilk kusur değil. Bu Nisan ayının başlarında Apple, tüm güvenlik korumalarını aşabilecek ve böylece onaylanmamış yazılımların Mac'lerde çalıştırılmasına izin verebilecek, o sırada aktif olarak yararlanılan bir sıfır gün kusurunu (CVE-2021-30657) hızla düzeltmeye başladı.

Ardından Ekim ayında Microsoft, "Shrootless" (CVE-2021-30892) olarak adlandırılan ve rastgele işlemler gerçekleştirmek, root ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş cihazlara rootkit yüklemek için kullanılabilecek bir güvenlik açığını açıkladı. Apple, 26 Ekim 2021'de yayınlanan güvenlik güncellemelerinin bir parçası olarak sorunu ek kısıtlamalarla çözüldüğünü söyledi.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Yeni BLISTER Kötü Amaçlı Yazılımı

TARİH: 24 Aralık 2021

Siber güvenlik araştırmacıları, güvenliği ihlal edilmiş sistemlerde Cobalt Strike ve BitRAT yüklerini dağıtmak amacıyla güvenlik savunmalarını gizlice geçmek ve radarın altında kalmak için geçerli kod imzalama sertifikalarından yararlanan bir kötü amaçlı yazılım kampanyasının ayrıntılarını açıkladılar.

Bir yükleyici olan ikili dosya, Elastic Security'den araştırmacılar tarafından "Blister" olarak adlandırıldı ve kötü amaçlı yazılım örnekleri VirusTotal'da ihmal edilebilir ila sıfır algılamaya sahip. Saldırıyı gerçekleştirmek için kullanılan enfeksiyon vektörü ve izinsiz girişin nihai hedefleri henüz bilinmiyor.

Saldırıların dikkate değer bir yönü, Sectigo tarafından verilen geçerli bir kod imzalama sertifikasından yararlanmalarıdır. Kötü amaçlı yazılımın, 15 Eylül 2021 tarihli söz konusu sertifikayla imzalandığı gözlemlendi. Elastic, kötüye kullanılan sertifikaların iptal edilmesini sağlamak için şirkete ulaştığını söyledi.

Araştırmacılar Joe Desimone ve Samir Bousseaden, "Geçerli kod imzalama sertifikalarına sahip ürütülebilir dosyalar, genellikle imzasız yürütülebilir dosyalardan daha az derecede incelenir. Kullanımları, saldırganların radarın altında kalmasına ve daha uzun süre tespitten kaçmasına izin veriyor." dedi.

Blister, "colorui.dll" adlı yasal bir kitaplık gibi görünür ve "dxpo8umrzrr1w6gm.exe" adlı bir dropper aracılığıyla teslim edilir. Yürütme sonrasında, yükleyici, muhtemelen korumalı alan analizinden kaçma girişiminde bulunarak, yalnızca kalıcılık kurarak ve Cobalt Strike veya BitRAT gibi yerleşik bir kötü amaçlı yazılım yükünün şifresini çözerek takip etmek için 10 dakika uyuyacak şekilde tasarlanmıştır.

Araştırmacılar, "Şifresi çözüldüğünde, gömülü yük mevcut işleme yüklenir veya yeni oluşturulan WerFault.exe [Windows Error Reporting] işlemine enjekte edilir" dedi.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Microsoft Teams
  2. MacOS
  3. Blister
  4. Zararlı Yazılımlar
  5. Zafiyetler
  6. Exploitler