Microsoft, kritik seviyedeki iki güvenlik açığı için güncelleştirme yayınladı. CVE-2020-1425 ve CVE-2020-1427 kodlu iki güvenlik açığı, Microsoft Windows Codec kütüphanesinin bellekteki nesneleri işleme biçiminde meydana gelen bir hatadan kaynaklanıyor. Hata, bir saldırganın uzaktan kod çalıştırmasına olanak veriyor.
CVE-2020-1427 kodlu güvenlik açığı, bir saldırganın hazırladığı zararlı bir görüntü dosyasını sosyal mühendislik tekniklerini kullanarak kurbana göndermesi ve kurbanın zararlı görüntü dosyasını görüntülemesiyle sömürülebiliyor ve saldırgan bu sayede uzaktan komut çalıştırabiliyor. CVE-2020-1425 kodlu güvenlik açığı ise bir saldırganın etkilenen sistem hakkında kritik bilgiler elde etmesine neden oluyor.
Belirtilen güvenlik açıklarının aşağıda belirtilen işletim sistemlerinin x86 ve x64 mimarilerini etkilediği belirtildi:
- Windows 10 version 1709/1803/1809/1903/1909/2004
- Windows Server 2019
- Windows Server version 1803/1903/1909/2004
Güvenlik açığından etkilenmemek için Microsoft’un yayınlamış olduğu güncelleştirmelerin etkilenen sistemlere yüklenmesi gerekmektedir.
Saldırganlar Kripto Para Üretmek İçin Docker Hub Kullanıyorlar
Docker Hub; Docker konteynerlerinin oluşturulmasını, yönetilmesini ve paylaşılmasını sağlayan topluma açık bir platformdur. Paketlenmiş yazılım uygulamalarını paylaşmak amacıyla kurumlar ve bireyler tarafından sıklıkla kullanılan Docker Hub platformu, zararlı Docker imajları yaymak amacıyla saldırganlar tarafından da kullanılıyor.
Palo Alto Networks Unit 42 araştırmacıları, Monero madenciliği yapmak amacıyla oluşturulmuş 6 zararlı imaj içeren “azurenql” adlı bir Docker Hub hesabı keşfettiler. Araştırmacılar, bu hesabın 2019 yılından bu yana etkin olduğunu ve saldırganların Docker imajlarını yaymak için bu hesabı kullandıklarını belirttiler. Ayrıca araştırmacılar, Ekim 2019’dan bu yana belirtilen hesapta bulunan imajların 2 milyondan fazla kez çekildiğini ve bir cüzdan hesabının bu imajları kullanarak 36.000$’dan fazla kripto para ürettiğini belirttiler.
Saldırganlar, kripto para üretme işlemini başlatmak için bir Python script dosyası kullanıyorlar. “dao.py” olarak adlandırılan bu dosya, belirtilen imajlar içerisinde ENTRYPOINT olarak ayarlandığından dolayı, oluşturulan konteynerlerin çalıştırılmasıyla birlikte otomatik olarak başlıyor. Saldırganlar bu işlem sırasında ağ tespitini atlatmak amacıyla, Tor ve ProxyChains gibi araçlardan yararlanıyorlar.
Paketlenmiş yazılımların kullanışlı olması Docker konteynerlerin benimsenme oranını artırıyor. Dolayısıyla özel hazırlanmış paketlerin Docker destekleyen platformlara dağıtılması saldırganlar için kolay bir iş haline geliyor. Saldırılardan etkilenmemek için bilinmeyen depolardaki imajların kullanılmaması önerilmektedir.
Kanadalı LifeLabs Firmasında Veri ihlali Yaşandı
Yaklaşık 15 milyon kişinin isimleri, adresleri, e-posta adresleri, kullanıcı adları, parolaları, sağlık kart numaraları ve laboratuvar testleri gibi birçok hassas kişisel bilgiye sahip Kanadalı özel tıbbi laboratuvar sağlayıcısı LifeLabs, yaptığı açıklamada milyonlarca insanın sağlık bilgilerinin yeterince korunamadığını ve geçen yıl Kasım ayında ülkenin en büyük veri ihlalinin yaşandığını belirtti.
Yaşanan bu veri ihlalinin ardından Ontario The Information and Privacy Commissioner (OIPC- Ontario Bilgi ve Gizlilik komisyonu), veri koruma politikalarının iyileştirilmesi ve veri ihlali ile ilgili daha iyi bir açıklama yapılması gerektiği ile ilgili LifeLabs şirketine bir bildiri gönderdi. Komisyonun ve şirketin ortak soruşturma raporuna göre; şirketin veri ihlali soruşturması için uygun adımları atmasına rağmen, kişisel verilerin korunması konusunda yapılması gereken işlemleri yapmadığı belirtiliyor.
British Columbia Bilgi ve Gizlilik Komisyonu üyesi Michael McEvoy, konu ile ilgili yaptığı açıklamada “İnsanların gizlilik haklarını ihlal eden şirketlere para cezası verilmelidir.” dedi.
Yeni Bir Ransomware Korsan Uygulamalar Üzerinden macOS Kullanıcılarını Hedefliyor
K7 Lab güvenlik araştırmacıları, korsan uygulamalar yoluyla yayılan ve macOS kullanıcılarını hedefleyen yeni bir ransomware türü keşfetti. Güvenlik araştırmacılarının raporuna göre, “EvilQuest” olarak adlandırılan ransomware varyantı, kurulumdan sonra kendisini CrashReporter ya da Google Yazılım Güncellemesi olarak gizliyor. EvilQuest, hedefin dosyalarını şifreleme özelliğinin yanı sıra, bulaştığı sistemde kalıcılığı sağlama, keylogger başlatma, reverse shell oluşturma ve kripto para cüzdanlarını çalma gibi özelliklere de sahip. EvilQuest ransomware, popüler torrent siteleri üzerinde bulunan Little Snitch, Mixed In Key 8 ve Ableton Live gibi macOS yazılımlarının içinde gömülü olarak geliyor. Ayrıca hedef sistemde çalışan Kaspersky, Avast, McAfee gibi güvenlik yazılımlarını kapatıyor ve kullanıcı her oturum açtığında kendisini otomatik olarak başlatıyor. Hedef sistemde kendi kopyasını oluşturduktan sonra sistemdeki dosyaları şifrelemeye başlıyor ve şifreleme işleminin ardından 72 saat içinde dosyaların decrypt edilmesi için 50$ ödenmesi gerektiğini belirten bir fidye notu bırakıyor. EvilQuest’i diğer ransomware yazılımlarından ayıran başka bir özellik de hedefin dosyalarını şifrelemenin yanı sıra, komuta kontrol sunucusu üzerinden bulaştığı makineleri kontrol edebiliyor olması.
EvilQuest ve benzeri zararlı yazılımlardan sisteminizi korumak için, sisteme kurduğunuz uygulamaları güvenilir sitelerden indirmeniz ve dosyalarınızı düzenli olarak yedeklemeniz tavsiye edilmektedir.