Microsoft Windows’ta kritik bir güvenlik açığı keşfedildi. Keşfedilen zafiyet Windows sistemlerde yetki yükseltmeye izin veren kritik bir açıklık olarak tanımlanıyor. Windows işletim sisteminde keşfedilen bu zeroday, başarılı bir şekilde uygulandığında saldırganların ayrıcalıklarını belirli koşullar altında SYSTEM kullanıcısı yetkisine yükseltmesine izin veriyor.
Bu kritik bir güvenlik açığı olsa da, saldırganların iki farklı kullanıcının kullanıcı adını ve parolasını bilmesini gerektiriyor. Elbette ki bu durum saldırıları zorlaştırmışmaktadır. Microsoft, Ağustos ayında Windows sistemlerinde Profil Hizmeti (User Profile Service) ayrıcalıklarının yükseltilmesi olarak tanımlanan ve CVE-2021-34484 olarak izlenen güvenlik açığını gidermek için bir güncelleme yayınlamıştı.
Ancak zafiyeti bildiren araştırmacı Abdelhamid Naceri, Microsoft yamasını tekrar analiz etti ve bu yamanın yetersiz olduğunu Github’da hesabında yayınaldığı bir uygulama ile gösterdi.
Güvenlik açığı, Windows 10, Windows 11 ve Windows Server 2022 dahil olmak üzere tüm Windows sürümlerinde bulunuyor; bu nedenle sistem yöneticileri tarafından göz ardı edilmemesi gerekiyor.
Winrar’da RCE Zafiyeti Keşfedildi
Popüler olarak kullanılan dosya sıkıştırma yazılımı WinRAR’ın deneme sürümünde keşfedilen RCE zafiyeti, Igor Sak-Sakovskiy tarafından bildirildi. Zafiyet WinRAR’ın 5.70 sürümünü etkilemektedir.
Kişisel kullanıcılar için “Nagware” lisans yöntemini kullanan Winrar, deneme sürümü sona erdiğinde kullanıcılarına uyarı ekranı çıkarmakta ve belirli özellikleri devre dışı bırakıp yazılımın kullanımına izin vermektedir. Zafiyet saldırganın, deneme sürümü uyarı ekranı açılırken trafiği yakalayıp değiştirmesiyle tetiklenmektedir. Sakovskiy hata mesajının oluşmasıyla zafiyeti tesadüfen bulduğunu belirtti. Sakovskiy bu uyarı ekranında “JavaScript Error” hatasıyla karşılaştı ve Internet explorer Engine’in kullanıldığını farketti. Uyarı penceresi çıktığında aradaki trafiğin dinlenmesi ve düzenlenmesi sonucunda sistemde kötü niyetli yazılımlar çalıştırılabildiği ortaya çıktı.
Bu noktada DOCX, PDF, PY, RAR formatlarındaki dosyalar Windows güvenlik uyarısına takılmamaktadır. Diğer dosya formatlarında ise kullanıcının güvenlik uyarısına onay vermesi durumunda saldırı başarıya ulaşmaktadır.
Milyonlarca Kullanıcı SMS Dolandırıcılık Uygulamalarının Hedefinde
Kullanıcıları, rızası ve bilgisi olmadan premium abonelik hizmetlerine yönlendiren ve 10.5 milyon indirmeye sahip 151 kötü amaçlı Android uygulamasından yararlanan küresel bir dolandırıcılık kampanyası keşfedildi.
Mayıs 2021’de başladığı düşünülen UltimaSMS olarak adlandırılan saldırının, klavye, QR kod okuyucuları, video ve fotoğraf editörleri, spam bloklayıcı ve oyun gibi üçüncü parti uygulamalarla gerçekleştiği anlaşıldı.
Saldırganlar kullanıcılara reklamları kaldırmak, ekstra özelliklere erişmek gibi premium özellikler sunarak karşılığında SMS üyeliği istemekteydi. Bunun sonucunda da kullanıcıları aylık abone yaparak uygulama üzerinden para kazandıkları ortaya çıktı. UltimaSMS uygulamasının TikTok, Facebook ve Instagram gibi en çok kullanılan sosyal medya sitelerinde dağıtıldığı, bu sosyal medya siteleri üzerinde cezbedici ve akılda kalan uygulama reklamları kullandıkları anlaşıldı. Google Play’de yer alan ve SMS scam saldırısı yapan bu uygulamaların altında yapılan yorumlara bakıldığında kurbanların büyük bir kısmının çocuk olduğu tespit edildi.
Türkiye’de 790.000 kişinin kurban olduğu düşünüldüğü bu saldırıda Türkiye’nin yanı sıra Mısır, Suudi Arabistan, Pakistan, Birleşik Arap Emirlikleri, Umman, Katar, Kuveyt, ABD ve Polonya bulunmaktadır.
NPM Kütüphanesi Risk Altında
22 Ekim Cuma günü CISA (Cybersecurity & Infrastructure Security Agency) popüler bir Javascript NPM kütüphanesi hakkında uyarıda bulundu.
CISA’nın yaptığı açıklamaya göre haftalık 6 milyonun üzerinde indirmesi bulunan “UAParser.js” adlı NPM kütüphanesi, içerisinde kripto madencilik yapan ve parolaları ele geçiren zararlı bir yazılım barındırıyor. Bahsi geçen supply-chain saldırısının açık kaynaklı kütüphanenin üç farklı versiyonunu (0.7.29, 0.8.0, 1.0.0) hedef aldığı ve NPM sağlayıcı hesabının ele geçirilmesiyle zararlı yazılım enjekte edilerek yayınlandığı belirtildi.
Zararlı yazılım barındırdığı belirtilen üç versiyon üzerindeki sorun 0.7.30, 0.8.1 ve 1.0.1 yamalarıyla giderildi. Aynı zamanda NPM repository’si, aynı kütüphaneyi taklit eden bu üç zararlı paketten kurtulmak için taşındı. Kütüphanenin geliştiricisi Faisal Salman “Birinin NPM hesabımı ele geçirdiğine ve kötü amaçlı yazılım barındıran paketler yayınladığına inanıyorum” açıklamasında bulundu.
Github, acil olarak yayınladığı uyarısıyla “Bu paketin kurulu olduğu veya çalıştığı herhangi bir bilgisayarın güvenliği tamamen ihlal edilmiş olarak kabul edilmelidir. Bu bilgisayarlarda bulunan tüm anahtarlar ve diğer gizli bilgiler acilen başka bilgisayarlara aktarılmalıdır. Ancak bilgisayarın tam kontrolü dışarıdan ele geçirilmiş olabileceğinden yüklemeden kaynaklı paketin kaldırılmasının kötü amaçlı yazılımları ortadan kaldıracağının garantisi yoktur” şeklinde açıklama yaptı.
Microsoft TodayZoo Phishing Kitine Karşı Uyardı
Microsoft, kullanıcı oturum açma bilgilerini ele geçirmek amacıyla yaygın olarak kullanılan -en az- beş farklı yapının en iyi özelliklerini bir araya getiren özel bir kimlik avı kiti hakkında uyardı.
Aralık 2020’de aracın ilk örneklerini tespit eden teknoloji devinin Microsoft 365 Defender Tehdit İstihbarat Ekibi, copy-and-paste saldırı altyapısını “TodayZoo” olarak adlandırdı. Araştırmacılar, “Satılık veya kiralık oltalama kitlerinin ve diğer araçların bolluğu, bir saldırganın bu kitlerden en iyi özellikleri seçip kullanmasını kolaylaştırıyor. Bu özellikleri özelleştirilmiş bir kitte bir araya getiriyorlar” dedi. TodayZoo kitinin büyük bölümü DanceVida olarak bilinen başka bir kitten alınmış gibi görünürken, taklit ve şaşırtmayla ilgili bileşenler Botssoft, FLCFood, Office-RD117,WikiRed ve Zenfo gibi modüllerden alınmış gibi duruyor. Microsoft, “Bu araştırma, günümüzde gözlemlenen veya mevcut olan çoğu kimlik avı kitinin daha önceki kitlere dayandığını kanıtlıyor” dedi. Bu eğilim daha önce gözlemlenmiş olsa da, gördüğümüz kimlik avı kitlerinin kendi aralarında büyük miktarda kod paylaştığı göz önüne alındığında, kod paylaşımının bir standart olma yolunda ilerlediği söylenebilir.