WhatsApp, Android uygulamasında kullanılan cihazda kötü amaçlı kod yürütmek ve hassas bilgilere erişmek için kullanılabilecek güvenlik zafiyetini açıkladı. Güvenlik zafiyeti, Android 9 ve daha alt sürümleri çalıştıran cihazlarda “man-in-the-disk” saldırılarına izin veriyor.
Census Labs araştırmacıları, CVE-2021-24027 kodlu WhatsApp zafiyetinin saldırganların TLS 1.3 ve TLS 1.2 oturumları için uzaktan TLS kriptografik materyal (cryptomaterial) toplamasını mümkün kılabileceğini gösterdi. Census Labs araştırmacısı Chariton Karamitas; saldırganın tek yapması gerekenin, hedefe yönelik hazırlanan HTML belge ekini hedefin açmasını sağlamak olduğunu söyledi. Belge açıldığında WhatsApp, bu belgeyi bir içerik sağlayıcı üzerinden Chrome’da işliyor ve depolanan TLS oturum anahtarını bir javascript kodu kullanarak çalabiliyor.
Anahtarları ele geçiren saldırgan uzaktan kod yürütme için saldırı düzenleyebilir ve hatta Noise Protocol anahtar çiftlerini ele geçirip hedef cihazda yetersiz bellek (out-of-memory) hatasını uzaktan tetikleyebilir. Bu hata, WhatsApp’ın hata ayıklama mekanizmasını devreye sokar ve kodlanmış anahtar çiftlerini, uygulama günlükleri, sistem bilgileri ve diğer bellek içeriğiyle beraber özel bir günlük sunucusuna (crashlogs.whatsapp.net) gönderir. Bunu yaparak, sistem programlı olarak veri toplamaya zorlanmış olur. Daha sonra, sunucuya gönderilen bu hassas bilgiler de ele geçirilebilir hale geliyor.
WhatsApp kullanıcılarının, zafiyetlerle ilişkili riski azaltmak için 2.21.4.18 sürümüne güncelleme yapmaları önermektedir. Şirket, kullanıcılarının mesajlarını korumak için kullanılan anahtarların sunuculara yüklenmediğini ve crash log bilgilerinin mesaj içeriğine erişmesine izin vermediğini tekrarladı.
Linux Tabanlı Cihazlardaki Zero-Click Bluetooth Zafiyetleri
Google güvenlik araştırmacıları, Linux Bluetooth yazılımında, kimliği doğrulanmamış bir saldırganın savunmasız cihazlarda kernel ayrıcalıklarıyla uzaktan kod çalıştırmasına izin verebilecek Zero-Click zafiyetleri konusunda uyarıda bulunuyor. BleedingTooth olarak adlandırılan üç zafiyet, dizüstü bilgisayarlar ve IoT cihazlar gibi Linux tabanlı sistemler için destek sunan açık kaynaklı BlueZ protokolünde bulunuyor.
Bu zafiyetin ilk ve en ciddi olanı (CVE-2020-12351), L2CAP protokolünde buluyor. Zafiyetin, 2016 yılında “l2cap_core.c” modülünde yapılan bir değişiklikle ortaya çıktığı söyleniyor. Linux kernel 4.8 ve üzerini etkileyen zafiyet, heap tabanlı type confusion hatasından kaynaklanıyor. CVSS puanı 8.3 olarak belirlenen zafiyet, bir saldırgan tarafından kötü amaçlı bir L2CAP paketi gönderilmesiyle hizmet reddi gibi saldırılar gerçekleştirmek için kullanılabilir.
İkinci güvenlik zafiyeti (CVE-2020-12352), Linux kernel 3.6 ve daha yüksek versiyonlarda bulunan, stack tabanlı bir information disclosure zafiyeti olarak belirtiliyor. 2012’de A2MP protokolünde yapılan bir değişiklik sonucunda ortaya çıkmıştır. Bir saldırgana kernel stack bilgisini almak için olanak vermektedir. Dolayısıyla zafiyet, bellek düzenini tahmin etmek ve ASLR (Address space layout randomization)’ı bypass etmek için kullanılabilir.
Üçüncü zafiyet ise, Bluetooth arayüzü olan Host Controller Interface (HCI)’de bulunan ve Linux kernel 4.19’u etkileyen stack tabanlı bir buffer overflow zafiyetidir. CVE-2020-24490 kodlu bu zafiyeti kullanarak bir saldırgan, kurban makine bluetooth 5 yongalarına sahipse ve tarama modundaysa kernel ayrıcalıklarıyla hizmet reddine veya uzaktan kod yürütmeye neden olmaktadır.
Intel, bu sorunlarla ilişkili riski azaltmak için kernel güncellemelerini yüklemeyi önerdi ve güvenlik zafiyetleri hakkında “BlueZ’deki olası güvenlik açıkları saldırganların yetki yükseltmesine ve bilgi ifşasına neden olabilir” açıklamasını yaptı.
Apple Tedarikçisi Quanta’nın Bilgileri Ele Geçirildi
REvil fidye yazılımı çetesi, çalınan verileri satmak için üçüncü taraflarla pazarlık yaptığını iddia etti. Kötü şöhretli REvil fidye yazılımı çetesi (Sodinokibi olarak da bilinir) yeniden faaliyete geçti ve bu kez kurbanının, Tayvan merkezli bir üretici olan Quanta Computer Inc. olduğunu iddia edildi. Quanta, dizüstü bilgisayarlar ve diğer elektronik donanımlar için donanım üretimi yapıyor ve LG, Dell, Sony, Vizio gibi şirketler ile çalışıyor.
Grup ayrıca Quanta’nın ihlalin farkında olduğunu ve korumakla ilgilenmediğini iddia ederek bilgi paylaşıyor. Bu nedenle, (REvil ransomware grubu), Apple’ın yaklaşan sürümleriyle ilgili hassas ve gizli ayrıntılar içerdiği anlaşılan verileri satın almakla ilgilenen birkaç üçüncü tarafla görüşüyor. Ayrıca grup, Apple’a çalınan verileri 1 Mayıs 2021‘e kadar “geri satın almasını” teklif ediyor. Aksi takdirde grup, ürün ve kişisel verileri halka açacağını belirtti.
Şimdilik, grup örnek verilerin küçük bir bölümünü “kanıt” olarak sızdırdı. İncelenen veriler, 9 Mart 2021 tarihli bir Apple dizüstü bilgisayarın birkaç CAD çizimini içermektedir.
Siber Saldırganlar Zararlı PDF’ler İçeren 100.000 Web Sayfası Oluşturdu!
Siber saldırganlar, çeşitli saldırılar gerçekleştirebilecek bir Remote Access Trojan (RAT) kullanarak birçok web sayfası oluşturdu. Saldırı, siteleri, sistemlere sızmaya yönelik faturalar, şablonlar, anketler ve makbuzlar gibi iş formları aramalarından yararlanarak çalışıyor. İddia edilen belge şablonlarını indirmeye çalışan kullanıcılar, farkında olmadan kötü amaçlı yazılım barındıran bir web sitesine yönlendiriliyor.
eSentire araştırmacıları bir yazıda, “RAT kurbanın bilgisayarına girip etkinleştirildikten sonra, saldırganlar komutlar gönderebilir ve virüs bulaşmış sisteme fidye yazılımı, credential stealer, bankacılık truva atı gibi ek kötü amaçlı yazılımlar yükleyebilir” açıklamasında bulundu. Siber güvenlik firması, şablon, fatura, makbuz, anket ve özgeçmiş gibi popüler iş terimleri veya anahtar kelimeleri içeren 100.000’den fazla benzersiz web sayfası keşfettiğini ve böylece sayfaların arama sonuçlarında daha üst sıralarda yer alarak başarı olasılığının artmasını sağladığını belirtiyor.
Bir kurban, saldırgan tarafından kontrol edilen web sitesine geldiğinde ve aranan belgeyi indirdiğinde, daha karmaşık tehditler için bir giriş noktası haline gelmiş oluyor. Daha sonrasında .NET tabanlı olan SolarMarker (aka Yellow Cockatoo, Jupyter, Polazert) adındaki RAT yazılımı kullanıcının sistemine indiriliyor. eSentire tarafından araştırılan bir vakada, yürütülebilir kötü amaçlı yazılım başlatıldığında RAT’ın, Slim PDF’nin yasal sürümü ile birlikte dağıtan bir PDF belgesi olarak gizlendiği belirlendi.
NSA Tarafından Keşfedilen Kritik Exchange Server Zafiyetleri
Microsoft 13 Nisan 2021 tarihinde, Exchange Server’da keşfedilen ve bazıları kritik olan dört yeni güvenlik zafiyeti için güvenlik güncellemeleri yayımladı. Bu zafiyetler ABD Ulusal Güvenlik Ajansı NSA tarafından tespit edilip Microsoft’a bildirildi. Exchange Server 2013’ten 2019’a kadar olan sürümleri etkileyen bu zafiyetlerin tamamı remote code execution zafiyetine sebep oluyor. Paylaşılan zafiyetlerin CVE kodları şu şekildedir:
- CVE-2021-28480
- CVE-2021-28481
- CVE-2021-28482
- CVE-2021-28483
Microsoft kıdemli tehdit istihbaratı analisti Kevin Beaumont’a göre, bu zafiyetlerden en ciddi olanı 10 üzerinden 9,8’lik kritik önem derecesine sahip ve kimlik doğrulanmamış bir saldırgan tarafından kötüye kullanılabilecek durumda olduğunu belirtiyor.
NSA’nın Siber Güvenlik Direktörü Rob Joyce, yaptığı açıklamada, “Siber güvenlik ulusal güvenliktir. Ağ güvenliğini sağlayanlar artık harekete geçmek için gereken bilgiye sahipler ancak kötü niyetli hackerlar da öyle. Onlara bu güvenlik zafiyetinden yararlanma fırsatı vermeyin” cümlelerini kullandı.
Zafiyetlerin kritik olmasından dolayı zafiyetten etkilenenlerin son yamayı yüklemeye öncelik vermeleri tavsiye ediliyor.
Sızma Testleri ve Red Team hizmetleri için güçlü, tecrübeli ve yetenekli bir ekibe ihtiyacınız varsa, doğru yerdesiniz! Uzmanlarımızla iletişime geçerek fiyat teklifi ve detaylı bilgi alabilirsiniz.