Belirli güvenlik açıkları hakkında oldukça nadiren direktif yayınlayan ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçtiğimiz Eylül ayında ağlarında Microsoft Windows Active Directory kullanan devlet kurumlarına tüm alan denetleyicilerine bir an önce yama uygulamaları yönünde talimat verdi. Nedeni ise Zerologon olarak da adlandırılan ve Netlogon protokolünde bulunan CVE-2020-1472 güvenlik açığı.
10.0 büyüklüğündeki tehlike
Zerologon güvenlik açığının kaynağı, Netlogon kimlik doğrulama mekanizmasındaki güvenilir olmayan bir şifreleme algoritması. Söz konusu güvenlik açığı kurumsal ağa bağlanan veya bu ağdaki bir bilgisayara erişen saldırganların bir alan denetleyicisine saldırmasına ve nihayetinde bu denetleyicinin kontrolünü ele geçirmelerine imkan veriyor.
Güvenlik açığının CVSSv3 ölçeğindeki değeri ise en yüksek değer olan 10.0. Ağustos ayında Microsoft konu ile ilgili bir yama yayınlasa da, Zerologon’a ve bu güvenlik açığının nasıl istismar edilebileceğine dair geniş çapta dikkat çeken şey Hollandalı siber güvenlik firması Secura’nın yaptığı derinlemesine bir çalışma oldu. Bu çalışmanın yayınlanmasından saatler sonra ise araştırmacılar kendi kavram kanıtlarını (PoC) yayınlamaya başladılar. Sadece birkaç gün içinde, söz konusu güvenlik açığından gerçekte nasıl faydalanılabileceğini ortaya koyan en az dört açık kaynak kod örneği GitHub’da yer aldı.
Gerçek saldırılarda Zerologon
Tabii ki, halka açık şekilde yayınlanan bu PoC’ler yalnızca bilgi güvenliği uzmanlarının değil, aynı zamanda siber suçluların da dikkatini çekti: Artık yapmaları gereken tek şey kodu kesip kötü amaçlı yazılımlarına yapıştırmaktı. Örneğin, Ekim ayı başlarındaki Microsoft’un bildirisine göre TA505 grubu Zerologon’dan faydalanma girişimlerinde bulundu. Siber suçlular, bu güvenlik açığından yararlanmak için kötü amaçlı yazılımlarını bir yazılım güncellemesi olarak gizleyip erişim sağladıkları bilgisayarlarda saldırı araçları derlediler.
Ryuk adlı fidye yazılımının arkasındaki bir başka grup ise, sadece beş saat içinde Zerologon’u bir şirketin tüm yerel ağına bulaştırmak için kullandı. Şirketin bir çalışanına standart bir kimlik avı e-postası gönderen grup, bu e-posta’ya tıklanmasını ve bilgisayara virüs bulaşmasını bekledi. Ardından Zerologon’u ağda yanal olarak hareket etmek için kullanıp yürütülebilir bir fidye yazılımı tüm sunuculara ve iş istasyonlarına dağıttı.
Zerologon neden tehlikeli?
Zerologon’dan faydalanmak için yerel ağın içinden bir alanı denetleyicisine saldırı gerçekleştirilmesi gerekiyor gibi görünebilir. Ancak aslında, siber suçlular ağdaki bir bilgisayarı ele geçirmek için çeşitli yöntemler kullanarak bu engeli uzun süredir aşabiliyorlar. Bu yöntemler arasında; kimlik avı saldırıları, tedarik zinciri saldırıları ve hatta ziyaretçiler için ofis alanlarındaki gözetimsiz ağ girişlerinin kullanımı bile yer alıyor. Başka bir tehdit ise uzaktan bağlantılardan (ki bugünlerde neredeyse tüm şirketler tarafından kullanılıyor) geliyor — özellikle de çalışanlar kurumsal kaynaklara kendi cihazlarından bağlanabiliyorsa.
Zerologon (ve varsayımsal olarak buna benzer diğer güvenlik açıkları) ile ilgili temel sorun, bu güvenlik açığının kötü kullanımının ağdaki bir bilgisayar ile bir alanı denetleyicisi arasında gerçekleşen standart bir veri alışverişi gibi görünmesi; şüphe uyandıracak tek durum ise sadece bu veri alışverişin sıra dışı bir yoğunlukta olması. Öyle ki, yalnızca uç nokta güvenlik çözümlerine güvenen şirketlerin bu tür saldırıları tespit etme şansı oldukça düşük.
Bu tür anormalliklerin üstesinden gelmek için yapılacak en iyi şey, bu görevi Kaspersky Managed Detection and Response (MDR) gibi özel hizmetlere bırakmaktır. Kaspersky Managed Detection and Response (MDR), siber suçluların kullandıkları taktikler hakkında derinlemesine bilgiye sahibi olan ve müşteriye ayrıntılı şekilde pratik öneriler sunan bir harici güvenlik merkezi.
Çözüm iki seviyeden oluşuyor: MDR Optimum ve MDR Expert. Kaspersky’nin güvenlik operasyon merkezi uzmanları, Zerologon ile ilgili ayrıntılı bilgilerin yayınlanmasının hemen ardından MDR hizmetindeki güvenlik açığından faydalanmaya yönelik girişimleri takip etmeye başlayıp Kaspersky Managed Detection and Response’nin her iki sürümünün de bu tehditle mücadele edebildiğinden emin oldu.
Kaspersky Managed Detection and Response, Kaspersky Optimum Security‘nin bir parçasıdır. Kaspersky MDR sayfasına göz atarak çözüm hakkında daha fazla bilgi alabilirsiniz.