22Ağustos

Siber Güvenlik Bülteni #17

Google Güvenlik Araştırmacısı Windows Üzerinde 20 Yıllık Zafiyet Keşfetti

Google güvenlik araştırmacılarından Tavis Ormandy Windows XP’den Windows 10 sürümüne kadar olan tüm Windows işletim sistemi sürümlerini etkileyen bir privilege escalation (hak ve yetki yükseltme) zafiyeti keşfetti. Güvenlik açığı MSCTF ALPC (Advanced Local Procedure Calls)’e yapılan çağrıların yanlış işlenmesi nedeniyle ortaya çıkmaktadır. MSCTF Windows işletim sistemlerinde girdi yöntemleri, klavye düzenleri gibi özellikleri yöneten bir modüldür. Böylece düşük hak ve yetkilerle çalışan uygulamalar ve sanal alanda bulunan işlemler, yüksek hak ve yetkilerle çalışan uygulamalar üzerinde okuma ve yazma hakları elde edebilirler.
Tavis Ormandy güvenlik açığını tespit ettikten sonra Microsoft’a bildirdi fakat sorun 90 gün içinde çözülemediği için güvenlik açığını yayınladı. Güvenlik açığının nasıl exploit edildiği ile ilgili videoya buradan ulaşabilirsiniz. Ayrıca Tavis Ormandy tarafından yazılan exploit kodlarına da buradan ulaşabilirsiniz.

Microsoft bu ay yayınlanan Salı güncelleştirmesi ile ALPC’e yapılan çağrıların işleme şeklini düzelterek bu güvenlik açığını giderdi. Güvenlik açığından etkilenmemek için güncelleştirmelerin yapılması önerilmektedir.

OFFICE 365 Kişisel Verilerin Gizliliğini İhlal Ediyor

Almanya’da Microsoft Office 365, Hessen Eyaleti Veri Koruma ve Bilgi Özgürlüğü Komisyonu(HBDI) tarafından geçtiğimiz Mayıs ayında çıkan GDPR yasalarına göre yasaklandı. Gerekçe ise, Microsoft’un Office 365’in bulut teknolojisini kullanarak okullardaki öğrenci ve öğretmenlerin kişisel bilgilerinin korunmasını ve gizliliğini ihlal etmesi olarak açıklandı. Office 365 hizmeti sağlayan veri merkezinin Almanya’dan kaldırılması ve sunucuların ABD yetkilileri tarafından erişime açık olması bu olayın nedenlerinden biri olarak gösteriliyor.

Komisyona göre Office 365 uygulamasının tekrar kullanıma açılması için Microsoft’un yasalara uyması gerekmektedir. Normal şartlarda ürünün tek yasal yolu kullanıcının rızası sonucu kullanılmasıdır. Ancak GDPR kanunlarına göre okuldaki öğrencilerin kendi başlarına karar veremeyecekleri göz önüne alındığında, kullanımın yasa dışı olduğu belirtilerek yasaklanmıştır.

Kişisel bilgilerinin gizliliği konusunda ABD’ye karşı alınan önlemler yeni olmayıp Almanya ile sınırlı değildir. Ayrıca Fransa, yetkililerin WhatsApp kullanmasını engellemek için Nisan ayı başlarında Tchap adındaki yerli uygulamalarını kullanıma sundu.

Dünya Çapındaki Bankaları Hedefleyen Rus Hacking Grubu: Silence APT

Eski Sovyet ülkeleri ve komşu ülkelerdeki finans kuruluşlarını hedef almasıyla tanınan Silence APT grubu, artık Amerika, Avrupa, Afrika ve Asya’da bulunan ülkelerdeki bankaları hedef alıyor. Eylül 2016’dan beri aktif olan Silence APT grubunun en son başarılı saldırısı Bangladeş merkezli Dutch-Bangla Bank’a 3 milyon doların üzerinde para kaybına neden olmuştu.

Diğer APT grupları gibi, Silence ATP grubu da saldırılarının ilk adımında hedefledikleri sistemlere zararlı makrolar, CHM dosyaları ve .LNK kısayolları içeren kötü amaçlı dosyalar ve spear-phishing e-postaları gönderiyorlar.

Grup hedeflerini seçmek için zararlı bir içerik taşımayan resim veya bağlantı içeren keşif e-postaları göndererek aktif e-posta adreslerinin bulunduğu güncel bir hedef listesi oluşturuyorlar.

Bluetooth’ta bulunan Kritik Güvenlik Açığı

Akıllı telefonlar, dizüstü bilgisayarlar, akıllı IoT cihazları ve endüstriyel cihazlar dahil olmak üzere bir milyardan fazla Bluetooth özellikli cihazın, saldırganların iki cihaz arasında iletilen verileri gözetlemelerine olanak verebilecek kritik bir güvenlik açığına karşı savunmasız olduğu tespit edildi.

Key Negotiation of Bluetooth (KNOB) saldırısı olarak adlandırılan güvenlik açığı, hedeflenen cihazlara yakın mesafedeki saldırganların iki eşleştirilmiş cihaz arasındaki şifreli Bluetooth trafiğini kesmesine, izlemesine veya değiştirmesine olanak sağlıyor.

Saldırının başarılı olması için:

  • Her iki Bluetooth cihazının da bir BR / EDR bağlantısı kurması,
  • Her iki Bluetooth cihazının da güvenlik açığından etkileniyor olması ve
  • Saldırganın zafiyeti cihaz eşleşme sırasında exploit etmesi gerekmektedir. Eşleşme gerçekleşmiş oturumlara saldırı yapılamaz.

Güvenlik açığından etkilenmemek için güncelleştirmelerin yapılması önerilmektedir.