Netlogon’da Kritik Zafiyet: Zerologon #70

Secura’nın güvenlik araştırmacısı Tom Tervoort tarafından, Netlogon servisini etkileyen kritik bir zafiyet keşfedildi. “Zerologon” olarak adlandırılan CVE-2020-1472 kodlu zafiyet, Netlogon’un belirli bir fonksiyonundaki doğrulama token’ının taklit edilmesinden kaynaklanıyor. Zafiyetten yararlanan bir saldırgan, Domain Controller makinesinin bilgisayar parolasını bilinen bir değerle değiştirerek, Domain Controller makinesini ele geçirebilir ve Domain Admin’in kimlik bilgilerini elde edebilir. Keşfedilen bu kritik zafiyetinin CVSS puanı 10 üzerinden 10 olarak belirlendi.

Zerologon zafiyeti, bilgisayar parolalarını güncellemek için kullanılabilen Netlogon Remote Protokolü tarafından kullanılan kriptografik kimlik doğrulama şemasında bulunan bir hatadan kaynaklanmaktadır. Bu hata, saldırganların Domain Controller’da dahil olmak üzere herhangi bir bilgisayarı taklit edebilmesine ve o bilgisayarlar adına RPC (Remote Procedure Calls) çağrıları gerçekleştirmesine olanak sağlıyor. Secura, güvenlik açığını gideren yamayı tüm kullanıcıların Domain Controller makinelerine olabildiğince hızlı bir şekilde yüklemesini tavsiye etti. Secura’nın, sistemlerin Zerologon zafiyetinden etkilenip etkilenmediğini test etmek için yayınladığı araca buradan ulaşabilirsiniz. Zafiyetin teknik detaylarının bulunduğu yazıya ise buradan ulaşabilirsiniz.

100.000 Razer Kullanıcısının Bilgileri Sızdırıldı

Dünya çapında faaliyet gösteren bir oyun donanımı üreticisi olan Razer Inc.’de, yaklaşık 100.000 Razer müşterisinin özel verilerinin ifşa edilmesine yol açan bir güvenlik açığı tespit edildi. Bilgi ifşasının yanlış yapılandırılmış bir Elasticsearch sunucusundan kaynaklandığı belirtildi. Bu bilgi ifşasından kaç müşterinin etkilendiği belli olmamakla birlikte, etkilenen kullanıcılara ait e-posta adreslerinin sayısına bakılarak 100.000 kullanıcının bilgi ifşasından etkilendiği tespit edildi. Yapılan açıklamaya göre kullanıcıların; ad, telefon numarası, e-posta adresi, dahili müşteri kimliği, fatura/teslimat adresi, sipariş ayrıntıları ve sipariş numarası gibi hassas ve özel verilerin ifşa olduğu belirtildi.

Elasticsearch sunucularının, geçmiş yıllarda yanlış yapılandırmalar sonucunda birçok veri ifşasına neden olduğu biliniyor. İfşa olan bilgileri kullanarak, Razer çalışanı gibi davranan saldırganlar kullanıcılara Phishing saldırıları yapabiliyor. Konu ile ilgili Razer kullanıcılarının gelen e-postalara dikkat etmeleri öneriliyor.

Bluetooth Saldırıları

Bluetooth SIG – Bluetooth standartlarını ve geliştirilmesini denetleyen kuruluş – Dünya çapında milyonlarca kullanıcıyı potansiyel olarak etkileyen güvenlik açığı ile ilgili bildiri yayınladı. BLURTooth olarak adlandırılan CVE-2020-15802 kodlu güvenlik açığı, Bluetooth 4.0 ve 5.0 teknolojisi kullanan cihazları etkiliyor ve saldırganların şifreleme anahtarının üzerine yazarak veya şifreleme anahtarının daha kolay kırılmasını sağlayarak yakındaki hedeflenen bir cihaza yetkisiz bir şekilde bağlanmalarına izin veriyor. Bu, daha önce birbiriyle eşleşmiş cihazlar üzerinde Man In The Middle (MITM) saldırıları gerçekleştirilmesine olanak veriyor.

Güvenlik açığı, Basic Rate/Enhanced Data Rate (BR/EDR) ve Bluetooth Low Energy (BLE) standartlarını destekleyen cihazların Cross-Transport Key Derivation (CTKD) protokolünü etkilemektedir. Cross-Transport Key Derivation (CTKD), iki Bluetooth cihazını eşleştirirken kimlik doğrulama anahtarlarının anlaşmasından sorumlu bir Bluetooth bileşenidir ve “çift modlu” cihazlar olarak bilinmektedir. Yapılan açıklamada Bluetooth 4.0 ile 5.0 sürümlerindeki cihazların BLURTooth’a karşı savunmasız olduğu, Bluetooth 5.1 sürümlü cihazların ise güvenli olduğu belirtildi. Bu saldırılara karşı halka açık yerlerde Bluetooth bağlantısının kapalı tutulması ve cihaz eşleştirmelerinin yapılmaması tavsiye edilmektedir.

Nintendo’daki Veri Sızıntısı Devam Ediyor

Nintendo firması 2020 yılı içerisinde 2 kere çok büyük veri sızıntısı olayı ile karşılaştı. Nisan ayında yaşanan ilk veri sızıntısında Nintendo’ya ait oyun konsollarının kaynak kodları anonim bir kullanıcı tarafından 4chan üzerinde paylaşıldı. Temmuz ayında yaşanan ve sızan verinin boyutundan dolayı “Gigaleak” olarak adlandırılan ikinci sızıntıda ise, Nintendo’ya ait aralarında Super Mario, Pokemon ve Star Fox gibi çok popüler oyunların da bulunduğu 64 oyunun kaynak kodları, yeni geliştirilen oyunların prototipleri ve kullanıcı e-mail adresleri gibi veriler internet üzerinde paylaşıldı.

VICE’ın yaptığı habere göre Nintendo’nun yaşadığı veri sızıntısı hala devam ediyor. Eylül ayı içerisinde diğer iki sızıntıya göre boyutu daha az olan üçüncü bir veri sızıntısı yaşandı ve Pokemon Emerald oyununa ait kaynak kodlar, daha yayınlanmamış iki adet GameCube oyun konsolu modeline ait veriler ve Nintendo oyun konsoluna gelecek yeni güncellemeler internet üzerinde paylaşıldı.

Yapılan açıklamalarda Nintendo’nun veri sızıntıları ilgili henüz bir aksiyon almadığı ve şirketin stratejisinin veri sızıntılarını tamamen görmezden gelmek üzerine olduğu belirtildi. Yaşanan veri sızıntısının hacker’lar tarafından 2018 yılında elde edilen 2 terabaytlık bir arşivden kaynaklandığına ve paylaşılan verilerin bunun yalnızca küçük bir kısmı olduğuna inanılıyor.