28Kasım

Siber Güvenlik Bülteni #31

Windows UAC Bileşeninde Güvenlik Açığı

Windows Certificate Dialog üzerinde hak ve yetki yükseltme zafiyeti bulundu. CVE-2019-1388 kodlu güvenlik açığı, UAC(User Account Control) bileşeni üzerinden exploit edilmektedir ve saldırganlara sisteme program yükleme, sistemden program silme ve sistemdeki programı değiştirme imkanı vermektedir.

Windows, tüm UAC istemcilerine varsayılan olarak Secure Desktop adında ayrı bir masaüstü göstermektedir. UAC tamamen etkin durumdayken, yönetici yetkisindeki interaktif kullanıcılar normalde en düşük hak ve yetkide çalışırlar. Yetkisiz bir kullanıcı örneğin bir uygulama çalıştırmak istediğinde UAC devreye girer ve yönetici parolası ister.

Zafiyet ise UAC arayüzünde bulunan “Show details” bölümündeki sertifika iletişim kutusunda, uygulamaya ait sertifikayı veren kuruluşun sitesinin hyperlink’inin gösterilmesinden kaynaklanıyor.

Yetkisiz kullanıcıya sahip bir saldırgan, bu linke tıklayarak yönetici hak ve yetkilerinde çalışan bir web tarayıcı başlatabiliyor ve tarayıcı üzerinden de yönetici olarak komut satırı uygulamasını açabiliyor. Bu zafiyet ile en düşük hak ve yetkiye sahip bir kullanıcı, yetkilerini en yüksek yetkiye yükseltebilir.

Güvenlik zafiyetine ait demo videosuna buradan ulaşabilirsiniz. Güvenlik açığından etkilenmemek için Microsoft’un yayınlamış olduğu güncelleştirmelerin yüklenmesi gerekmektedir.

SDK’lar Sosyal Medya Verilerine Erişiyor

Yüz binlerce Android uygulamasının entegre ettiği iki adet third-party SDK’nın (Software Development Kit), kullanıcıların bağlı oldukları sosyal medya hesaplarına ait verilere yetkisiz bir şekilde erişebildiği tespit edildi.

Twitter, 25 Kasım tarihinde yayınlanan bir blog yazısında OneAudience tarafından geliştirilen bir SDK’nın, bazı kullanıcıların kişisel verilerini OneAudience sunucularına geçirmiş olabileceğini ve gizliliği ihlal eden bir bileşen içerdiğini ortaya çıkardı. Facebook, Twitter’ın açıklamasının ardından, başka bir şirket olan Mobiburn tarafından geliştirilen bir SDK’dan dolayı, bazı Android uygulamalarıyla bağlantılı olarak Facebook kullanıcılarını veri toplama şirketlerine maruz bırakmış olabilecekleri hakkında bir bildiri yayınladı. Bu duruma karşılık OneAudience, SDK’nın kapatıldığını açıkladı ve verilerin hiçbir zaman toplanmasının amaçlanmadığını, veritabanına eklenmediğini ve kullanılmadığını belirtti.

Twitter, Google’ı ve Apple’ı zararlı SDK’lar hakkında bilgilendirdi ve kullanıcıları üçüncü taraf uygulama mağazalarından indirme yapmaktan kaçınmaları gerektiği konusunda uyardı. Facebook ve Twitter, bu sorundan etkilenmiş olabilecek kullanıcılarını bilgilendirmeyi planlıyorlar.

Monero Kripto Para Platformu Hacklendi

Monero kullanıcıları, Monero web sitesi üzerinden indirilen binary dosyaların hash değerlerinde uyumsuzluk fark ettiler. Bunun üzerine inceleme yapan yazılım geliştiricileri, hash değerlerindeki uyumsuzluğu onayladılar. Monero şirket yöneticileri ise bu uyumsuzluk üzerine soruşturma başlatıldığını bildirdi. Ayrıca yöneticiler, kullanıcıların binary dosyaları kontrol etmelerini, eğer bir olumsuzluk varsa bu dosyaları silmelerini ve tekrar indirmelerini tavsiye ettiler.

Yapılan araştırma sonucunda saldırganların zararlı yazılım kullandıkları belirlendi ve güvenlik araştırmacısı BartBlaze tarafından bu zararlı yazılım analiz edildi. Yapılan analiz sonucu saldırganın zararlı yazılımı, Monero yazılımı içerisine yeni fonksiyonlar enjekte ederek geliştirdiği ve zararlı yazılımın, bir kullanıcı yeni bir cüzdan oluşturduğunda veya var olan cüzdanı açtığında tetiklendiği tespit edildi. Zararlı yazılımın amacının kullanıcı cüzdanlarından para çalmak olduğu belirtildi.

Şirket yöneticileri yaptıkları açıklamada kullanıcıların 7.000 $ ‘lık bir maddi kayıp yaşadığını belirtti. Saldırıyı gerçekleştiren kişi ya da grubun kim oldukları henüz bilinmiyor.

Android Outlook Uygulamasında Güvenlik Zafiyeti

Microsoft Outlook Android uygulamasında yeni bir güvenlik zafiyeti keşfedildi. CVE-2019-1460 olarak tanımlanan bu zafiyet, Android Outlook uygulamasının özel hazırlanmış e-posta iletilerini düzgün bir şekilde parse edememesinden kaynaklanıyor. Saldırganlar bu tür bir e-posta göndererek XSS saldırıları gerçekleştirebilirler ve kurban tarafında script çalıştırabilirler. Microsoft tarafından yapılan açıklamaya göre saldırının gerçekleştirilebilmesi için saldırgan ve kurbanın aynı ağda olmaları gerekmektedir.

Saldırılardan etkilenmemek için en kısa sürede Outlook uygulamasının son sürüme güncelleştirilmesi gerekmektedir.