Ürünlerimizdeki Kaspersky Exploit Prevention alt sistemi sayesinde yakın bir zaman önce Google Chrome tarayıcısındaki bir güvenlik açığını kötüye kullanarak saldırganların bilgisayarlara yetkisiz erişmesini sağlayan kötü amaçlı bir program tespit ettik. Bu program, geliştiricilerin henüz fark etmediği bir güvenlik açığı olan sıfır gün güvenlik açığını kullanıyor. Güvenlik açığı, CVE-2019-13720 olarak tanımlandı.
Bu açığı Google’a bildirdik ve Google son Chrome güncellemesinde bu açığı giderdi. Yazıda bu güvenlik açığını kullanan saldırının nasıl gerçekleştirildiğini anlatıyoruz.
WizardOpium: Korece kötü haber
WizardOpium Operasyonu olarak adlandırdığımız bu saldırılar, saldırganların kötü amaçlı kod yerleştirdiği bir Kore haber sitesinde başladı. Saldırganların yerleştirdiği bu kötü amaçlı kod sistemin virüs için uygun olup olmadığını ve kullanıcının hangi tarayıcıyı kullandığını kontrol etmek için üçüncü taraf bir siteden bir komut dosyası yüklüyor (siber saldırganlar Windows için Chrome’un 65. sürümünden eski olmayan sürümleriyle ilgileniyor).
İşletim sistemi ve tarayıcı, gereksinimleri karşıladığı takdirde komut dosyası kötü amaçlı yazılımı parça parça indirip birleştiriyor ve deşifre ediyor. Güvenlik açığından faydalanan kötü amaçlı yazılımın yaptığı ilk şey, Chrome’un sürümünü bir kez daha kontrol etmek oluyor. Bu aşamada yazılım, daha da seçici hale geliyor ve yalnızca Chrome 76 veya 77 ile çalışıyor. Belki siber suçlular tarayıcının farklı sürümleri için farklı araçlara sahip olabilirler fakat bunu kesin olarak söyleyemiyoruz.
Güvenlik açığını kötüye kullanan program, istediği şeyi bulduğundan emin olduğunda bilgisayar belleğinin uygunsuz kullanımına dayalı bir “use-after-free” güvenlik açığı olan CVE-2019-13720’den faydalanmaya çalışıyor. Program, belleği yönlendirerek cihazda veri okuma ve yazma izni elde ediyor ve bu izni hemen kötü amaçlı yazılımı indirmek, deşifre etmek ve çalıştırmak için kullanıyor. İkincisi kullanıcıya göre değişebiliyor.
Kaspersky ürünleri, güvenlik açığını kötüye kullanan bu programı Exploit.Win32.Generic kararıyla tespit ediyor. Securelist gönderisinde konuyla ilgili daha fazla teknik ayrıntı bulabilirsiniz.
Chrome’u Güncelleyin
Kore haber sitelerinde gezinmiyor olsanız bile Chrome’u hemen 78.0.3904.87 sürümüne güncellemenizi öneriyoruz. Bu güvenlik açığını kötüye kullanan bir yazılımın olması, başka kötü amaçlı yazılımların da olabileceği anlamına geliyor. Öyle ki güvenlik açığının ayrıntılarının serbest dolaşıma girmesinden hemen sonra büyük olasılıkla gerçekleşecek olan da bu.
Google; Windows, macOS ve Linux için bir Chrome güncellemesi yayınladı. Chrome otomatik olarak güncelleniyor ve sadece tarayıcıyı yeniden başlatmanız yeterli oluyor.
Fakat emin olmak için güncellemenin kurulu olup olmadığını kontrol edin. Kontrol etmek için tarayıcının sağ üst köşesinde yer alan dikey üç noktaya tıklayın (“Google Chrome’u özelleştirin ve kontrol edin”) ve Yardım → Google Chrome Hakkında‘yı seçin. Burada görünen numara 78.0.3904.87 veya üzeriyse her şey yolunda demektir. Değilse, Chrome mevcut güncellemeleri aramaya ve kurmaya başlayacak (solda dönen bir yuvarlak göreceksiniz) ve birkaç saniye sonra ekranda son sürümün numarası görünecektir: Yeniden Başlat ‘a tıklayın.