Sizin zayıf yönlerinizi bilen birileri var mı? Yanıtınız, muhtemelen ‘evet’ olacaktır. Kuvvetli bir ihtimal olarak bu zafiyetlerinizi bilen(ler) yakın çevrenizdeki insanlardır. Bu kişilerle aranız bozulduğunda veya size karşı bu hassas noktalarınızı kaşıdıklarında büyük bir hayal kırıklığına uğrar ve belki de ömür boyu unutulmayacak travmalarınız oluşur. Benzer bir durumun siber dünyada yaşanıp yine sizin gerçek hayatınızı etkileme olasılığının olduğunu söylesem, ne düşünürdünüz? Belki de bu satırları okurken dahi gerilmeye başladınız. Ancak, evet. Böyle bir ihtimal de her zaman olasılıklar arasında yer alıyor.
Gün geçmiyor ki yeni bir teknoloji ile karşılaşmayalım. Keza yeni bir güvenlik zafiyetiyle de… Büyük bir buhrana sebebiyet verebilecek BlueKeep açıklığını her bilinçli kullanıcının(bence herkesin bilinçli olması şart) bilmesi gerekmektedir. Aksi durumda içinde var olduğunuz mutlu veya stabil anlarınızı zehir edecek kötü niyetli kişiler sırada beklemektedir.
BlueKeep Nedir?
Evinizde her anınızı gözetleyen bir cihaz ve arkasında bunu izleyen bir kişi olduğunu öğrenseniz, nasıl hissederdiniz? Hayal etmesi bile inanılmaz can sıkıcı. BlueKeep zafiyetinde de aşağı yukarı benzer bir durum söz konusudur. Windows işletim sisteminde gün yüzüne çıkan bu güvenlik açığı ile saldırganlar, uzaktan kod çalıştırabilmektedir.
Dolayısıyla cihazınızın arka planda neler yaptığından habersiz bir şekilde hayatınıza devam etmiş olabilirsiniz. Tabii yalnızca bireysel kullanıcılar da değil. Aynı zamanda şirketler açısından da itibar ve maddi kayıpların yaşanması söz konusudur. Bu satırları okurken, aklınızda soru işareti oluşmuş olabilir; “acaba ben de bu zafiyetten etkileniyor muyum?” Aşağıdaki işletim sistemlerinde BlueKeep zafiyeti tespit edilmiştir. Bunlar;
- Windows XP
- Windows 7
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
Şeklindedir. BlueKeep zafiyeti(CVE-2019-0708) 14 Mayıs 2019’da Microsoft tarafından duyurulmuş ve bu açıklığın giderilmesi için güncellemeler yayınlamıştır. Hazır yeri gelmişken yukarıdaki işletim sistemlerinin pazar payı oranları hakkında da bilgi vermek istiyorum. Windows 7’nin 2024 yılı sonu itibari ile %2,41’lik bir payı mevcuttur. Yukarıda kalan diğerlerinin ise toplamda %1’den az bir yeri bulunmaktadır. Tabii bu somut verilere baktığınızda çok da elzem bir açıklık gibi görünmüyor. Öyle mi dersiniz? Yanıtınız evet ise biraz daha derine bakmakta fayda var.
BlueKeep Nasıl Çalışır?
Sektör içerisinde olanlar muhakkak bilir. Uzaktan bir cihaza bağlantı sağlamak için ne kullanıyoruz? AnyDesk veya benzer uygulamaları kastetmiyorum :). Bu bir servis.
RDP servisinde bulunan bir bellek hatası nedeniyle siber suçlular, kötü amaçlı bir RDP isteği ile sistemin belleğini bozmaktadır. Böylece ilgili sistem üzerinde yetkisiz erişim sağlayarak uzaktan kod çalıştırabilmektedirler. Hem de herhangi bir “kullanıcı adı” veya “parola” ihtiyacı duymadan… Sonra ne mi olur? Somut örneklerle detayına değineceğim ama biraz da hayal gücünüzün sınırları sonucu belirleyecektir. Durum o kadar vahim. Suçlu ne isterse yapabilir de diyebiliriz. Peki, bu süreç adım adım nasıl işliyor?
- RDP servisine ait açık portlar taranır. Yani saldırgan ilk olarak ağ trafiğini analiz eder. (Soru: RDP portu varsayılanda nedir? Yanıtını bilmiyorsanız, aşağıda önemli bir bilgi verirken sizlerle paylaşıyor olacağım)
- Kötü niyetli kişi, sisteme rdp isteği göndererek sistemin belleğini bozar.
- Belleğin bozulmasına bağıl olarak BlueKeep senaryosu çalışmaya başlar ve saldırgan, zararlı komutları çalıştırır.
- Devrime uğrayan bu sistem aynı açıklığa sahip diğer sistemlere de yayılarak saldırı yüzeyini genişletir.
BlueKeep ve Benzeri Oluşabilecek Zafiyetlerden Korunma Yöntemleri
Bu güvenlik açığı, belli başlı işletim sistemlerini etkiledi. Peki, ileride tüm işletim sistemlerini etkileyen bir zafiyetin olmayacağının garantisi var mı? Yakın zamanda neredeyse tüm dünyanın mavi ekran verdiği crowdstrike sorunu yaşandı. Hadi bu hatalı bir güncellemeden kaynaklandı. Peki, aynı durum wannacry gibi bir zararlının ortaya çıkmayacağı anlamına mı gelir? Elbette ki hayır. Sorun anında değil, problem yaşanmadan önce tedbirimizi almalıyız. Peki, nedir bu önlemler?
- Her zaman belirttiğim gibi, sistemleri güncel tutmak. Her yeni gelen güncelleme ile beraber yalnızca sistemsel veya tasarımsal iyileştirmeler değil, aynı zamanda önceki versiyonun güvenlik zafiyetleri de kapatılmaktadır. ‘Böylece hep daha güvenliye’ felsefesini motto edinebilirsiniz :).
- RDP kullanımını devre dışı bırakmak veya en azından sadece belirli adreslerden RDP’ye erişim izni tanımlayabilirsiniz. Daha da güvenlisini söyleyeyim; bir PAM çözümü kullanabilirsiniz. Bunun da iyisini söyleyeyim; CyberArk. Bu ürünün detaylarını merak ediyorsanız ilgili içeriğimi ziyaret edebilirsiniz.
- Yukarıdaki satılarda RDP’nin varsayılan portunu sormuştum. Yanıtı, 3389. Bu varsayılan portu değiştirerek, yapılabilecek kötü niyetli taramalardan kendinizi güvenceye alabilirsiniz.
- İki adımlı doğrulama(2FA) ile katmanlı güvenlik prosedürü yürütebilirsiniz.
- Firewall tarafında RDP’ye izin tanımlarken “source:all” yapmayın, belirli cihazlara yetkili erişim izni tanımlayarak güvenliğinizi üst seviyede tutmaya devam edin.
- SIEM çözümlerini kullanarak ağınızdaki anomali durumlarını anlık olarak tespit edebilir ve gerek manuel gerekse de anlık otomatik aksiyon alabilirsiniz.
Sizin konu hakkındaki düşünceleriniz neler, ileride benzeri zafiyetleri bekliyor musunuz? Görüş ve yorumlarınızı aşağıdaki yorumlar kısmından paylaşabilirsiniz. Bir sonraki içeriğimde görüşmek üzere, sağlıkla ve güvenle kalın.