PowerFall Operasyonu: İki sıfır gün güvenlik açığı

Teknolojilerimiz bir saldırıyı engelledi. Uzman analizi, önceden bilinmeyen iki güvenlik açığının kötüye kullanıldığını ortaya çıkardı. Bilmeniz gereken her şey.

Teknolojilerimiz yakın zamanda Güney Koreli bir şirkete yapılan saldırıyı engelledi. Uzmanlarımız siber suçluların kullandığı araçları analiz ederken iki adet sıfır gün güvenlik açığı keşfetti. Sıfır gün güvenlik açıklarından ilkini Internet Explorer 11’in JavaScript motorunda buldular. Bu güvenlik açığı, saldırganların uzaktan rastgele kod yürütmesine olanak sağladı. Bir işletim sistemi hizmetinde tespit edilen sıfır gün güvenlik açıklarından ikincisi ise saldırganların ayrıcalıkları yükseltmesine ve yetkisiz eylemler gerçekleştirmesine izin veriyordu.

Bu güvenlik açıklarına yönelik kötüye kullanımlar aynı anda yapıldı. İlk olarak, kurban, Internet Explorer 11’deki bir açığın çalışmasına izin verdiği kötü amaçlı bir komut dosyasını açtı ve ardından sistem hizmetindeki bir açık, kötü amaçlı işlemin ayrıcalıklarını daha da artırdı. Sonuç olarak, saldırganlar sistemin kontrolünü ele geçirmeyi başardı. Saldırganların amacı, birkaç çalışanın bilgisayarını tehlikeye atmak ve kuruluşun iç ağına sızmaktı.

Uzmanlarımız bu kötü niyetli girişime PowerFall Operasyonu adını verdiler. Mevcut olarak, araştırmacılar bu girişim ile bilinen aktörleri arasında tam olarak bir bağlantı kuramadılar. Ancak, istismarların benzerliğine bakıldığında DarkHotel‘in parmağının olma ihtimalini göz ardı etmediler.

Araştırmacılarımız bulguları ile ilgili Microsoft’u bilgilendirdiklerinde, şirket ikinci güvenlik açığını (sistem hizmetinde) zaten bildiğini ve hatta bu güvenlik açığı için bir yama yayınlamış olduklarını söyledi. Ancak Microsoft’u ilk güvenlik açığı ile ilgili bilgilendirene kadar (IE11’de), Microsoft bu açığın olası olmadığını düşünüyordu.

CVE-2020-1380 neden tehlikelidir?

İlk güvenlik açığı, IE9’dan bu yana tüm Internet Explorer sürümlerinin varsayılan olarak kullandığı jscript9.dll kitaplığındadır. Başka bir deyişle, bu güvenlik açığından yararlanılması tarayıcının modern sürümleri için tehlikelidir (Microsoft’un Windows 10 ile birlikte Edge’i piyasaya sürmesinin ardından Internet Explorer’ı geliştirmeyi durdurduğu düşünüldüğünde “modern” kelimesi belki de çok doğru bir sıfat değildir). Ancak, Edge ile birlikte Internet Explorer, hâlâ Windows’un son sürümünde varsayılan olarak yüklüdür ve işletim sisteminin önemli bir bileşeni olmaya devam etmektedir.

Internet Explorer’ı isteyerek kullanmasanız ya da varsayılan tarayıcınız olmasa bile bu, sisteminizin bir Internet Explorer güvenlik açığından etkilenemeyeceği anlamına gelmez çünkü bazı uygulamalar zaman zaman Internet Explorer kullanır. Örneğin Microsoft Office’i ele alalım: Microsoft Office, belgelerdeki video içeriğini görüntülemek için Internet Explorer’ı kullanır. Siber suçlular da, diğer güvenlik açıkları aracılığıyla Internet Explorer’ı kullanabilirler.

CVE-2020-1380, Use-After-Free sınıfına aittir ve dinamik belleğin yanlış kullanımından yararlanır. Securelist internet sitesinde yer alan “PowerFall Operasyonu’nda kullanılan Internet Explorer 11 ve Windows sıfır gün güvenlik açıklarının tam zinciri” başlıklı yazıda, güvenlik ihlali göstergeleriyle birlikte kötüye kullanımın ayrıntılı teknik açıklamasını okuyabilirsiniz.

Nasıl korunabilirsiniz?

Microsoft, 9 Haziran 2020’de CVE-2020-0986 (Windows çekirdeğinde) için bir yama yayınladı. İkinci güvenlik açığı olan CVE-2020-1380, 11 Ağustos’ta düzeltildi. İşletim sistemlerinizi düzenli olarak güncellerseniz PowerFall Operasyonu gibi saldırılara karşı sisteminiz zaten korunmuş olmalıdır.

Ancak, sıfır gün güvenlik açıkları ile her zaman karşılaşılmaktadır. Şirketinizin güvenliğini sağlamak için, Kaspersky Security for Business gibi kötüye kullanımı önleme teknolojilerine sahip bir çözüm kullanmanız gerekir. Kaspersky Security for Business’ın bileşenlerinden biri olan Exploit Prevention alt sistemi, sıfır gün güvenlik açıklarından yararlanma girişimlerini tanımlar.

Bunlara ek olarak, düzenli olarak güvenlik güncellemelerinin geldiği modern tarayıcıları kullanmanızı öneririz.

İpuçları