Uzak Windows sunucularını NTLM kimlik doğrulama ayrıntılarını veya kimlik doğrulama sertifikalarını paylaşmaya zorlayan ve bu sayede kimlik doğrulamak için kullanılabilecek yeni bir güvenlik zafiyeti keşfedildi. Fransız güvenlik araştırmacısı Gilles Lionel tarafından keşfedilen zafiyet, PetitPotam olarak adlandırılıyor ve proof-of-concept (PoC) koduna GitHub üzerinden ulaşabilirsiniz.
Zafiyet, Windows makinelerin uzak sistemlerde depolanan şifreli veriler üzerinde işlem gerçekleştirmesine izin veren bir protokol olan MS-EFSRPC‘nin kötüye kullanılması durumunda ortaya çıkmaktadır. Güvenlik zafiyeti ile bir saldırgan, uzak bir sistemin MS-EFSRPC arabirimine SMB istekleri göndererek bir kimlik doğrulama prosedürü başlatmakta ve kimlik doğrulama ayrıntılarını paylaşmaya zorlamaktadır.
Saldırı, Windows Server 2016 ve Windows Server 2019 sistemlerinde test edildi ancak güvenlik araştırmacıları PetitPotam’ın bugün desteklenen birçok Windows sürümünü etkilediğini belirtiyor.
Güvenlik araştırmacıları tarafından gerçekleştirilen testler, MS-EFSRPC desteğinin devre dışı bırakılmasının saldırının çalışmasını durduramadığını gösteriyor.
Linux’un Dosya Sistemi Katmanında Local Privilege Escalation Zafiyeti
Qualys Araştırma Ekibi, Linux Çekirdeğinin dosya sistemi katmanında çoğu Linux işletim sistemini etkileyen bir size_t-to-int tip dönüştürme güvenlik zafiyeti keşfetti. Düşük yetkili bir kullanıcı, bu hatadan yararlanarak güvenlik zafiyeti bulunan bir bilgisayarda root ayrıcalıkları elde edebilir.
Qualys güvenlik araştırmacıları, Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 ve Fedora 34 Workstation’ın varsayılan kurulumlarında güvenlik zafiyetini bağımsız olarak doğrulamak için bir exploit geliştirdi ve root ayrıcalıkları elde edebildi. Diğer Linux dağıtımları da bu zafiyetten etkilendiği belirtiliyor.
CVE-2021-33909 koduyla anılan zafiyet için güvenlik danışma belgesi yayınlandı. Bu güvenlik zafiyetine yönelik saldırı yüzeyinin genişliği göz önüne alındığında Qualys, kullanıcıların bu güvenlik zafiyeti için yamaları hemen uygulamalarını öneriyor.
Windows’ta Privilege Escalation Zafiyeti
Bir Twitter kullanıcısı, Windows 10’da yönetici olmayan kullanıcıların yönetici düzeyinde ayrıcalıklar elde etmesine izin verebilecek ve kolayca yararlanılabilen bir güvenlik zafiyeti keşfetti.
HiveNightmare ya da SeriousSAM olarak adlandırılan CVE-2021-36934 kodlu zafiyet, Security Accounts Manager (SAM) veritabanı da dahil olmak üzere birden çok sistem dosyasına erişmeye izin veriyor. Bu güvenlik zafiyetinden başarıyla yararlanan bir saldırgan, SYSTEM ayrıcalıklarıyla rastgele kod çalıştırabilir.
Saldırgan daha sonra sisteme program yükleme; verileri görüntüleme, değiştirme, silme veya yüksek ayrıcalıklı yeni hesaplar oluşturma gibi işlemler gerçekleştirmektedir. Saldırganın bu güvenlik zafiyetinden yararlanabilmesi için hedef sisteme erişimi olması yeterli olacaktır.
Microsoft, zafiyetin çeşitli Windows 10 ve Windows Server sürümlerini etkilediğini belirtmek için güvenlik danışma belgesi yayınladı. Ayrıca, bir yama yayınlanmadan önce sorunu geçici olarak azaltmak için kullanıcıların / yöneticilerin, %windir%\system32\config içeriğine erişimi kısıtlaması ve Volume Shadow Copy Service (VSS) gölge kopyalarını silmesi gerektiğini doğruladılar.
Atlassian Jira’da Kritik RCE Zafiyeti
Atlassian, 180.000 müşteri tarafından yazılım mühendisleri ve projeleri yöneticileri için ürünler geliştiren bir platformdur. Jira ise hata izleme ve proje yönetimi aracıdır.
Jira Data Center ve Jira Service Management Data Center ürünlerinin birçok versiyonunda rastgele kod yürütülmesine yol açabilecek kritik bir güvenlik zafiyeti keşfedildi. Zafiyet, Jira’nın Ehcache uygulamasında bulunan kimlik doğrulama hatasından kaynaklanmaktadır. Hizmetin 40001 ve 40011 numaralı portlarına erişebilen kimliği doğrulanmamış uzak saldırganların, bu zafiyetten yararlanarak Jira’da rastgele kod yürütmesi olasıdır.
Atlassian, CVE-2020-36239 olarak kodlanan güvenlik zafiyetiyle ilgili olarak bir güvenlik danışma belgesi yayınladı. Kurumsal müşterilerine e-posta gönderen şirket, onları en kısa sürede ürünlerini güncellemeye çağırdı.
Facebook Parolalarını Çalan Uygulamalar
Google Play Store’da toplamda 5.8 milyon indirmesi olan 9 uygulamanın Facebook parolalarını çaldığı ortaya çıktı. Fotoğraf düzenleme, fitness ve astroloji programları gibi gözüken bu uygulamalar, kullanıcıların Facebook hesaplarına giriş yapmaları için seçenek sunuyor. Daha sonra bir Javascript koduyla hesap bilgilerini ele geçirip, saldırganın kontrolünde olan bir sunucuya gönderiyordu.
Bu uygulamaların sadece Facebook giriş bilgilerini çalmak için geliştirildiği görülse de, Dr. Web güvenlik araştırmacıları, bu uygulamaların çeşitli hizmetlerden giriş bilgileri ve parolaları çalmak amacıyla kolayca düzenlenip, genişletebileceği konusunda uyardı.
Bu konuyla ilgili Google Play tarafından yapılan açıklamada ise uygulama geliştiricilerinden 2 Adımlı Doğrulamayı açmaları, bir adres vermeleri ve iletişim bilgilerini doğrulamalarını gerektiren yeni önlemlere yer verildi.
Bahsi geçen uygulamaların listesine aşağıdan ulaşabilirsiniz:
- PIP Photo (>5,000,000 indirme)
- Processing Photo (>500,000 indirme)
- Rubbish Cleaner (>100,000 indirme)
- Horoscope Daily (>100,000 indirme)
- Inwell Fitness (>100,000 indirme)
- App Lock Keep (50,000 indirme)
- Lockit Master (5,000 indirme)
- Horoscope Pi (>1,000 indirme)
- App Lock Manager (10 indirme)