Üçüncü parti yazılım, işletim sistemi veya donanım gibi ağ öğeleri kullanan her kurum, bu öğelerin “ürün” niteliğindeki güvenliğini yayımcı firmalarına teslim etmiş durumdadır. Dolayısı ile kurumlar kendi ağlarına ait güvenliğin bazı halkalarını da bu yayımcı firmalara teslim etmiş sayılabilirler.
Bu kök neden altında değerlendirilebilecek bazı açıkları sizlerle paylaşmak istedim.
LLMNR protokolü DNS’in yerine kullanılacak bir protokol olmaktan ziyade klasik DNS çözümlemesinin mümkün olmadığı durumlarda kullanılabilecek peer-to-peer protokoldür. Windows DNS istemcisinde bulunan bir açık Link-local Multicast İsim Çözümlemesi (LLMNR) sorgularının sistemde “NetworkService” hesabıyla kod çalıştırabilmesine izin vermektedir. Bu açığı kullanan bir saldırgan sistemde “NetworkService” hesabıyla uzaktan kod çalıştırarak yetkisiz erişim sağlayabilir.
SSH servisi, rastgele sayı üretme konusunda zayıflığı bilinen, tahmin edilebilir sayılar üreten bir Debian Linux sürümü üzerinde çalışmaktadır. Bu durum, SSH için üretilen sertifika ile şifrelenen ağ trafiğinin bir saldırgan tarafından kolayca çözülebilmesi ile sonuçlanmaktadır. Sorunun kaynağı OpenSSL kitaplığındaki rastgele sayı üreticisi (random number generator) olarak bilinmektedir.
Windows’un “Server” isimli servisinde (Suncu Hizmeti) uzaktan kod çalıştırma ve sistem yönetimini ele geçirme ile sonuçlanabilecek bir açık bulunmaktadır. “Server” servisi bir Buffer Overrun (arabellek yığılması) açığından etkilenebilir. Bu açıktan yararlanmak isteyen bir saldırgan “System” yetkileri ile sunucu üzerinde kod çalıştırabilir ve sistemi tümüyle ele geçirebilir
Bu açık “Mal/Generic-A”, “Trojan.Gimmiv.A” ve “W32.Wecorl” , “Conficker “ gibi bazı zararlı yazılımlar tarafından sömürüldüğü bilinmektedir.
Söz konusu güvenlik açığından etkilenen sistemlerde uzaktan kod yürütülebilmektedir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan program yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir. Tüm kullanıcı haklarına sahip olan yeni hesaplar oluşturabilir veya DoS saldırıları düzenleyebilir. Açığın kullanım şekli, SMB ortamına oturum açılmasını şart kılmamaktadır. 445 portuna yollanan bir paket, authentication gerektirmeden sistemin etkilenmesi için yeterlidir.
MSDTC (Microsoft Dağıtılmış İşlem Düzenleyicisi ) çeşitli sistem kaynakları arasındaki işlem koordinasyonunu sağlamaktadır. Söz konusu güvenlik açığından etkilenen sistemlerde uzaktan kod yürütülebilmektedir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan program yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir. Tüm kullanıcı haklarına sahip olan yeni hesaplar oluşturabilir ve hizmet engelleme saldırıları düzenleyebilir.
HP Data Protector istemcisi veya sunucusu uzaktan kod çalıştırmaya imkan veren bir açıktan etkilenmektedir. Bu açıktan istifade etmek isteyecek bir saldırgan, özel olarak hazırlanmış bir paket ile uygulamanın çalıştığı Host üzerinde “SYSTEM” hesabı yetkileri ile kod çalıştırabilir ve yetkisiz erişim sağlayabilir.
Yaşam döngülerinin tamamlandığı ilan edilen yazılımlar için üretici firmaları destek vermeyi bırakırlar. Bu yazılımlar, yaşam döngüsünün sonuna ulaştığı ilan edildiğinde, yeni güvenlik güncelleştirmeleri yayınlanmayacağından o tarihten itibaren çıkan açıklar için savunmasız kalırlar.
Exchange sunucusu özel olarak hazırlanmış bir TNEF mesajını işlerken, sonucu uzaktan kod çalıştırma olacak bir hafıza bozulması açığından etkilenmektedir. Bununla beraber özel hazırlanmış bir MAPI komutu, Microsoft System Attendant servisi ve EMSMDB32 sağlayıcısını kullanan diğer servisleri cevap vermez bir duruma sokabilir. Bundan istifade etmek isteyecek bir saldırgan DoS saldırıları düzenleyerek sisteme erişimi durdurabilir.
SQL sunucusu, uzaktan kod çalıştırmanın mümkün olabileceği bir açıktan etkilenmektedir. MSSQL ‘sp_replwritetovarbin’ prosedüründeki yanlış parametre kontrolünden kaynaklanan açığı kullanacak bir saldırgan, sistemin tüm kontrolünü ele geçirebilir.
Web sunucusu, “Header” bilgileri içinde yollanan “Expect” parametresinin içeriğini filtrelememektedir. Bu durumda XSS için kod çalıştırmak mümkün olabilmektedir. Bu açıktan yararlanacak bir saldırgan, sayfayı görüntüleyecek birinin kimlik bilgilerini çalabilir veya başka sayfalara kullanıcıyı yönlendirerek oltalama (Phishing) saldırıları düzenleyebilir.
Yukarıdaki açıklarla ortaya konmuş tabloya göz atıldığında kurum için birçok kritik açığın kaynağının “ Güncelleştirme Eksiklikleri ” kök nedeninden türediğini görmek mümkündür. Bu kritik açıkların var olmalarına rağmen bulunmamış olmaları, sahte güven duygusunun temellerini oluşturacaktır. Güncelleştirme politikası zayıf bir kurum bu açıklardan etkilenebilecektir.
Saldırı ihtimaline karşı hesap yapılırken çok yaygın yapılan yanlışlardan biri saldırıları yapacak olan saldırganın bir insan olmasını varsaymaktır. Hâlbuki saldırgan, açığı sömürmek için yazılmış bir kötü amaçlı yazılım, worm, virus veya trojan olabilir. Bu durumda gelebilecek saldırılara karşı ihtimal hesabı yaparken, sosyal ilişkilerin sistemdeki yerini doğru belirlemek yerinde bir tercih olacaktır.
Güncelleştirme politikası hazırlanırken, merkezi olarak çalışan bir otomatik güncelleştirme sistemi mi yoksa her ağ öğesi için elle yapılan bir sistem mi tasarlanacağı konusu kurumun kendi insiyatifinde olan bir konudur. Merkezi bir güncelleştirme sisteminin, test ortamına uygulanarak hayata geçirilmesi, yaygın olarak sağlıklı kabul edilmiş bir yapıdır. Ancak kurum, kendi ihtiyaçlarına göre bir sistem tasarlamayı seçmelidir. Bununla beraber, bazen kurumun risk yönetimi yaparak güncelleştirme yapılmaması kararına vardığı öğeler de olabilir. Bunların hepsi güvenlik hakkındaki bilinçli bir yönetimin, kuruma özel bir politika uygulamasıyla gerçekleştirilmelidir.
Gökhan MUHARREMOĞLU