EN

2021 8. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

8.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

19-02-2021

OpenText Content Server 20.3 - 'multiple' Stored Cross-Site Scripting

WebApps

PHP

23-02-2021

HFS (HTTP File Server) 2.3.x - Remote Command Execution (3)

Remote

Windows

24-02-2021

python jsonpickle 2.0.0 - Remote Code Execution

Remote

Multiple

25-02-2021

Product Key Explorer 4.2.7 - 'multiple' Denial of Service (PoC)

DoS

Windows

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Zafiyet Türü

20-02-2021

Brave Browser

Gizlilik Hatası

23-02-2021

CVE-2021-21972

RCE/VMware

Şubat ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür/Platform

18-02-2021

Wardle

Apple M1

19-02-2021

Masslogger

Trojan/Windows

21-02-2021

Silver Sparrow

Apple M1

 

Haber Yazısı 1

SolarWinds Hackerları Microsoft Azure, Exchange, Intune için Bazı Kaynak Kodlarını Çaldı

TARİH: 18 Şubat 2021

Microsoft perşembe günü yaptığı açıklamada, saldırganların bazı kaynak kodlarını çaldıklarını ancak dahili sistemlerini başka şirketleri hedef almak için kötüye kullandıklarına veya üretim hizmetlerine veya müşteri verilerine erişim kazandıklarına dair hiçbir kanıt olmadığını doğrulayarak, SolarWinds saldırısıyla ilgili araştırmasını tamamladığını söyledi.

Açıklama, 31 Aralık 2020 tarihinde, ürün ve hizmetleriyle ilgili kaynak kodunu görüntülemek için kendi ağının bir uzlaşmasını ortaya çıkaran daha önceki bir güncellemeye dayanıyor . Windows üreticisi daha önce "Az sayıda dahili hesapta olağandışı etkinlik tespit ettik ve incelemenin ardından, bir hesabın bir dizi kaynak kodu havuzunda kaynak kodunu görüntülemek için kullanıldığını keşfettik. Hesabın herhangi bir kodu veya mühendislik sistemini değiştirme izni yoktu ve araştırmamız ayrıca herhangi bir değişiklik yapılmadığını doğruladı. Bu hesaplar araştırıldı ve düzeltildi." demişti.

Şimdi şirkete göre , depolarda arama yaparak birkaç ayrı dosyayı görüntülemenin yanı sıra, bazı durumlarda aşağıdakilerle ilgili bileşen kaynak kodunu indirmeyi içeriyordu:

-Azure bileşenlerinin küçük bir alt kümesi (hizmet, güvenlik, kimlik alt kümeleri)
-Intune bileşenlerinin küçük bir alt kümesi
-Exchange bileşenlerinin küçük bir alt kümesi

SolarWinds tedarik zinciri saldırısını bir " hesaplaşma anı " olarak adlandıran Microsoft, ocak ayında kuruluşlara, en az ayrıcalıklı erişimi elde etmek ve çok faktörlü kimlik doğrulamayı etkinleştirerek riskleri en aza indirmek için "sıfır güven mantığını" benimsemelerini tavsiye etti.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Uzmanlar, QuickBooks Veri Dosyaları Hırsızlık Saldırılarında Önemli Artış Hakkında Uyardı

TARİH: 24 Şubat 2021

Yeni bir araştırma, kötü amaçlı yazılım dağıtmak ve muhasebe yazılımından yararlanmak için sosyal mühendislik hilelerini kullanan QuickBooks dosya veri hırsızlığındaki önemli artışı ortaya çıkardı.

QuickBooks, Intuit tarafından geliştirilen ve pazarlanan bir muhasebe yazılım paketidir.

ThreatLocker araştırmacıları, "Çoğu zaman, saldırı genellikle imzalanan temel kötü amaçlı yazılımları içerir ve bu da antivirüs veya diğer tehdit algılama yazılımlarını kullanarak tespit edilmesini zorlaştırır" dedi.

Araştırmacılar, öncü kimlik avı saldırılarının, e-postanın içinde çalışabilen bir PowerShell komutu biçimini aldığını, ikinci bir saldırı vektörünün, açıldığında kötü amaçlı kod indirmek için bir makro çalıştıran e-posta mesajları yoluyla gönderilen sahte belgeleri içerdiğini söyledi. QuickBooks dosyalarını saldırgan tarafından kontrol edilen bir sunucuya yükler.

Alternatif olarak, özel kötü amaçlı yazılımları indirmeye gerek kalmadan ilgili verileri İnternet'e yüklemek için hedef sistemlerde Invoke-WebRequests adlı bir PowerShell komutunu çalıştıran kötü aktörler de tespit edildi .

Araştırmacılar, "Bir kullanıcının Quickbooks veritabanına erişimi olduğunda, bir kötü amaçlı yazılım veya silah haline getirilmiş PowerShell, yönetici olsun veya olmasın kullanıcının dosyasını dosya sunucusundan okuyabilir" dedi.

Araştırmacılar, "Bir Veritabanı Sunucu Yöneticisi kullanıyorsanız, bir veritabanı onarımı çalıştırdıktan sonra izinleri kontrol ettiğinizden ve kilitlendiklerini onayladığınızdan emin olun" dedi.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz

Kaynakça

  1. SolarWinds
  2. QuickBooks
  3. Zararlı Yazılımlar
  4. Zafiyetler
  5. Exploitler