NSA Bu Sefer Kullanmadı Uyardı: Kritik Windows Açığı

ABD Ulusal Güvenlik Ajansı (NSA) Microsoft’a, Windows’un korsanların kötü amaçlı bir dosyanın güvenilir bir kaynaktan geldiğini veya ortadaki adam (MitM) saldırılarını gerçekleştirmesini sağlayabilecek potansiyel olarak ciddi bir kimlik sahtekarlığı güvenlik açığından etkilendiğini bildirdi. 

Siber Güvenlik Web TR olarak baştan söyleyelim ki Microsoft dünkü Salı güncellemesinde bu haberde bahsedilen açık olmak üzere 49 açığı gideren yamaları yayınladı. Tabi ki sistem yöneticilerinin acil olarak güncellemeleri yapması gerekiyor.

NSA, Microsoft yamalarını yayınlamadan önce güvenlik açığı hakkında onları bilgilendirmek için gazetecilere ulaştı. Ajans, birçok kişinin kusurun son derece kritik olduğuna inanmasına neden oldu, ancak bazı uzmanlar bunun beklediğinden daha az ciddi olduğunu söylüyor.

CVE-2020-0601

CVE-2020-0601 olarak izlenen güvenlik açığı Windows 10, Server 2016 ve Server 2019’u etkiliyor, ancak  saldırılarda sömürüldüğüne dair şu ana kadar bir kanıt yok.

Bu güvenlik açığını “önemli” olarak derecelendiren Microsoft, Windows’daki CryptoAPI (Crypt32.dll) bileşeninin Elliptic Curve Cryptography-Eliptik Eğri Şifreleme (ECC) sertifikalarını doğrulama biçiminde bulunduğunu belirtti. Şirket, bir saldırganın sahte bir kod imzalama sertifikası kullanarak kötü amaçlı dosyaları imzalamasına izin verebileceğini, bu da dosyanın güvenilir bir kaynaktan geliyormuş gibi görünmesini sağlayacağını söyledi. Saldırgan ayrıca MitM saldırıları gerçekleştirebilir ve hedeflenen bağlantıdan hassas bilgiler çalabilir.

NSA, güvenlik açığını kritik olarak nitelendirdi ve HTTPS bağlantılarına, imzalı dosyalara ve e-postalara ve imzalı yürütülebilir koda olan güveni etkileyebileceğine dikkat çekti.

“NSA basın açıklamasında , güvenlik açığının şiddetli olduğunu değerlendiriyor ve sofistike siber aktörler, buradaki kusuru çok çabuk anlayacak ve eğer kullanılırsa, daha önce bahsedilen platformları temel olarak savunmasız hale getirecek. Güvenlik açığına yama yapmamanın sonuçları ciddi ve yaygındır. Uzaktan sömürü araçları olasılıkla hızla yapılacaktır ve yaygın olarak kullanılacaktır, dedi.

Ajans, güvenlik açığından yararlanmanın uzaktan kod yürütülmesine neden olabileceğini söyledi. Ancak uzmanlar, kod yürütmenin doğrudan CVE-2020-0601 aracılığıyla gerçekleştirilemeyeceğine dikkat çekti.

SwiftOnSecurity Twitter açıklamasında “NSA, CVE-2020-0601’in Uzaktan Kod Yürütmeyi etkinleştirdiğini söylediğinde, otomatik güncelleme indirmeleri ve sistemler arasındaki onaylanmamış girişler gibi güvenilir iletişim kanallarının RCE veya diğer kötü niyetli sonuçlara neden olmak için bir MitM tarafından geçişte değiştirilebileceği anlamına geliyor.” dedi.

SwiftOnSecurity, güvenlik açığının, rakiplerinin ağ altyapısını tehlikeye atabilecek bir ulus devlet aktörü için oldukça yararlı olabileceğini belirtti.

“Bunun en büyük etkileri toplumsal ve endüstriyel altyapıları oluşturuyor Bankalar, kritik altyapılar vb.

SANS Teknoloji Enstitüsü’nden Johannes Ullrich de, bazı durumlarda uç nokta güvenliği üzerinde ciddi bir etkisi olabileceğini belirterek, kusuru ciddi olarak yorumladı.

Ullrich blog gönderisinde “Kullanıcılarınızla güvenilmeyen kaynaklardan aldıkları Office belgelerindeki makroları etkinleştirme konusunda sorun yaşıyorsanız ve hiçbir şey onların kötü amaçlı yazılım indirmesini ve yürütmesini engellemiyorsa endişelenmeyin. Zaten imzaları doğrulamıyorsunuz. Ancak, kullanıcıların güvenilmeyen kod çalıştırmasını engelleyen bir uç nokta çözümünüz varsa:  endişelenmeniz  gerekiyor. “Bu kütüphane, şifreleme ve dijital imzalarla ilgilenen hemen hemen tüm Windows yazılımları tarafından kullanılıyor. Bu kusur büyük olasılıkla sadece Microsoft tarafından yazılan yazılımları değil, birçok üçüncü taraf yazılımını da etkileyecektir” dedi.

NSA, bulduğu tüm güvenlik zafiyetlerini açıklamadığını açıkça kabul etti, ancak güvenlik blog yazarı Brian Krebs , kaynaklardan öğrendiğine göre, bunun NSA’nın etkilenen satıcılara ve halka açıklamanın yeni bir parçası olarak planladığı birçok güvenlik kusurundan ilki olduğunu söyledi.

“Geçmişte olduğu gibi kişisel olarak kullanmak  yerine, bu istismarın neden Microsoft’a bildirilmeye değer kılındığını anlamak isterim. Bunun nedeni, önceki araçların çoğunun sızdırılmış olması ve birden fazla kuruluşta yaygın hasara neden olması olabilir. Bunun nedeni, başkalarının bu güvenlik açığını kendilerinin bulacağı  ve kullanacağı gibi bir endişe olması da olabilir. ”diyor Vectra güvenlik analitiği başkanı Chris Morales,“Ya da NSA zaten bir Windows sisteminden ödün vermek için yeterli başka yöntemlere sahip olabilir ve buna ihtiyaç duymaz.”

CVE-2020-0601

SwiftOnSecurity’nin de NSA’nın güvenlik açığını neden açıkladığı konusunda bir teorisi var: “Bu, NSA gibi aşırı kaynaklara sahip ve sabırlı bir küresel aktör için hızlı açıklanan bir kusurdur, ancak bunun ABD için çok daha büyük bir sistemik tehdit olduğunu zannediyoruz ve bu nedenle Microsoft’a doğru şekilde ifşa edildi. ”

Microsoft’un Ocak 2020 Yaması Salı güncelleştirmeleri , RDP ile ilgili bazı kritik sorunlar da dahil olmak üzere yaklaşık 50 güvenlik açığını giderir. Bununla birlikte, yamalar serbest bırakılmadan önce hiçbir kusur  kullanılmamış veya kamuya açıklanmamıştır.

About The Author

Reply