16Nisan

Siber Güvenlik Bülteni #51

Microsoft Kritik Güvenlik Açıkları İçin Yama Yayınladı

Microsoft, Nisan ayının Salı günü yamasında kritik güncelleştirmeler yayınladı. Bu güncelleştirmeyle birlikte, Windows işletim sistemi sürümlerinin tümünü etkileyen 17’si kritik, 96’sı yüksek seviye olmak üzere toplam 113 güvenlik zafiyeti için yamalar paylaşıldı. Google Project Zero araştırmacıları tarafından bildirilen kritik seviye güvenlik açıkları zero-day olarak değerlendirildi.

CVE-2020-1020 ve CVE-2020-0938 kodlu zero-day zafiyetleri, bir saldırganın uzaktan kod çalıştırmasına neden oluyor. CVE-2020-1020 kodlu güvenlik zafiyeti, Windows sistemlerde kullanılan Adobe Font Manager kütüphanesindeki özel hazırlanmış bir multi-master yazı fontunun yanlış işlenmesinden kaynaklanıyor. CVE-2020-0938 kodlu güvenlik açığı, Adobe Type Manager kütüphanesini tetikleyen zararlı bir OpenType yazı fontunun parse edilmesi sırasında meydana geliyor. CVE-2020-1027 kodlu üçüncü zero-day ise, Windows çekirdeğinde bulunuyor ve bir saldırganın hak ve yetki yükseltmesine neden oluyor.

Yayınlanan diğer güncelleştirmeler ile Microsoft Office SharePoint’i etkileyen 5 kritik hata giderildi. Kritik hataların 4 tanesi, yazılımın bir uygulama paketinin kaynak işaretlemesini denetlememesinden kaynaklanıyor ve bir saldırganın rastgele kod çalıştırmasına neden oluyor. CVE-2020-0927 kodlu diğer hata, kimliği doğrulanmamış bir saldırganın, SharePoint sunucusuna özel hazırladığı bir payload’u göndererek XSS zafiyetini tetiklemesine neden oluyor. Ayrıca yapılan açıklamada, Windows sistemlerde çalışan OneDrive Desktop uygulamasındaki CVE-2020-0935 kodlu bir hak ve yetki yükseltme zafiyetinin de yayınlanan yamalarla giderildiği belirtildi. Sistemlerin saldırganlar tarafından ele geçirilmesini engellemek için paylaşılan son güncelleştirmelerin yüklenmesi gerekmektedir. Son Windows güvenlik güncelleştirmelerini yüklemek için “Settings –> Update&Security –> Windows Update –> Check for updates on your PC” adımları izlenebilir.

Dell, BIOS Saldırılarını Tespit Etmek İçin Yeni Bir Yazılım Yayınladı

Bilgisayar üretim devi Dell, müşterilerini BIOS’u etkileyen siber saldırılardan korumayı amaçlayan yeni bir güvenlik yazılımı yayınladı. SafeBIOS Events & Indicators of Attack (IoA) olarak adlandırılan güvenlik yazılımının, bilgisayarların BIOS ayarlarında bazı değişiklikler oluştuğunda kullanıcıları uyaran davranış tabanlı bir tehdit algılama sistemi olduğu açıklandı.

BIOS (Basic Input Output System – Temel Giriş Çıkış Sistemi), giriş ve çıkış aygıtlarını kontrol ederek işletim sisteminin açılmasını sağlar. BIOS kalıcı bir yazılım olup, ROM’da saklanmaktadır. BIOS yazılımının aşağıdaki nedenlerden dolayı korunması gerekir:

• BIOS ayarlarında yapılan değişiklikler ile önyükleme işlemi sırasında zararlı yazılım çalıştırılabilir.

• Saldırganlar BIOS’u ele geçirerek hedef bilgisayar üzerinde depolanan verilere erişebilirler ve kontrol edebilirler.

• BIOS’a yerleştirilen zararlı yazılım kalıcıdır ve tüm sabit sürücüler biçimlendirilse dahi, zararlı yazılım silinmeyebilir.

• BIOS’a karşı yapılan saldırıların tespit edilmesi genellikle zordur. Çünkü sistemde yüklü olan güvenlik yazılımları tarafından tespit edilemez.

Dell tarafından geliştirilen SafeBIOS ile sunulan kontroller, BIOS’ta oluşan güvenlik risklerini azaltabilir ve içerisinde zararlı yazılım bulunan bilgisayarlar karantina altına alınabilir. Yapılan açıklamada SafeBIOS aracının şu anda sadece Dell ticari bilgisayarları için kullanılabilir olduğu belirtildi.

Google, 49 Adet Zararlı Chrome Eklentisini Mağazadan Kaldırdı

Google, Chrome Web Mağazası’nda bulunan 49 adet zararlı eklentiyi kaldırdı. Kaldırılan eklentiler kendilerini kripto para cüzdanı eklentisi gibi gösterip, Ledger, Electrum, MyEtherWallet gibi popüler kripto para cüzdanlarını kullanan kullanıcıların cüzdan bilgilerini ele geçiriyor.

Saldırganlar Google Ads üzerinden reklam vererek, zararlı eklentilerinin daha fazla kullanıcıya ulaşmasını sağlıyor. Yapılan açıklamada kaldırılan 49 eklentinin de benzer şekilde çalıştığı belirtildi.

Araştırmacıların hazırladığı rapora göre 14 farklı komuta kontrol sunucusu kullanan saldırganlar, kullanıcılardan aldıkları verileri kendi sitelerinde bulunan PHP script’lerine gönderiyor. Araştırmacıların tespit ettikleri komuta kontrol sunucularının domain adları aşağıdaki gibidir:

• analytics-server296.xyz

• coinomibeta.online

• completssl.com

• cxext.org

• ledger.productions

• ledgerwallet.xyz

• mecxanalytic.co

• networkforworking.com

• trxsecuredapi.co

• usermetrica.org

• walletbalance.org

• ledgers.tech

• vh368451.eurodir.ru

• xrpclaim.net

Dikkat çeken başka bir konu ise komuta kontrol domain adlarının %80’inin 2020 Mart ve Nisan ayında alınması. Zararlı eklentilerin nasıl çalıştığını gösteren videoya buradan ulaşabilirsiniz.

Bu tür zararlı eklentilerden korunmak için gereksiz birçok izin isteyen eklentileri kurmaktan kaçınmak gerekiyor. Chrome’da halihazırda yüklü olan eklentilerin hangi izinleri kullandığı chrome://extensions/ linkinden incelenebilir.

Adobe Bazı Uygulamalar İçin Güncelleme Yayınladı

Adobe bu hafta yaptığı açıklama ile ColdFusion, After Effects ve Digital Editions uygulamalarında bulunan yüksek seviye güvenlik zafiyetleri için güncelleme yayınladı. Bu zafiyetlerden yararlanan bir saldırgan hassas verileri görüntüleyebilir, hak ve yetki yükseltebilir ve DOS saldırıları gerçekleştirebilir.

Yapılan açıklamada tespit edilen zafiyetlerden 3 tanesinin Adobe ColdFusion uygulamasında bulunduğu belirtildi. Keşfedilen bu zafiyetlerden CVE-2020-3767 kodlu zafiyet kullanıcı girdilerinin yetersiz doğrulanmasından dolayı DOS saldırısına, CVE-2020-3768 kodlu zafiyet hak ve yetki yükseltmeye olanak veren DLL Hijacking saldırısına ve CVE-2020-3796 kodlu zafiyet hatalı erişim kontrolünden dolayı sistem dosya yapısının ifşa olmasına neden oluyor. Zafiyetlerin giderilmesi için, ColdFusion 2016 kullanıcılarının yayınlanan Update 15’i ve ColdFusion 2018 kullanıcılarının da yayınlanan Update 9’u yüklemesi gerekmektedir.

Yapılan açıklamada Windows sistemlerde çalışan Adobe After Effects uygulamasında ise bilgi ifşasına neden olan bir zafiyet keşfedildiği belirtildi. ZDI ekibinden Matt Powell tarafından keşfedilen CVE-2020-3809 kodlu bu zafiyet, yetkisiz kullanıcıların önemli dosyaları okumasına izin veriyor. Hedef kullanıcının zararlı bir dosyayı açmasını sağlayan bir saldırgan, bu zafiyetten yararlanarak hedef sistemden hassas bilgiler elde edebiliyor. After Effects 17.0.1 ve önceki sürümleri etkileyen bu zafiyetin giderilmesi için uygulama 17.0.6 sürümüne yükseltilmelidir. Adobe Digital Editions uygulamasında keşfedilen CVE-2020-3798 kodlu zafiyetin ise dosyaların listelenmesinden kaynaklanan bir bilgi ifşası zafiyeti olduğu belirtildi. 4.5.11.187212 ve önceki sürümleri etkileyen bu zafiyetin giderilmesi için uygulama 4.5.11.187303 sürümüne yükseltilmelidir.