Bir e-postayı sadece okumanız, bilgisayarınızın ele geçirilmesine yetebilir!

Bir e-postayı sadece okumanız, bilgisayarınızın ele geçirilmesine yetebilir!
Nisan 12 14:40 2018 Yazıyı Yazdır

Bir güvenlik araştırmacısı, Microsoft’un bu ay tamamlanmamış bir yama yayınladığını ve güvenlik açığının ayrıntılarını paylaştı.

Bu Microsoft Outlook güvenlik açığı (CVE-2018-0950), Windows oturum açma bilgileri dahil olmak üzere, saldırganlar herhangi bir kullanıcı etkileşimi gerektirmeden Microsoft Outlook ile kurbanın bir e-postayı açması ile hassas bilgileri çalabiliyorlar.

CERT Kordinasyon Merkezi’nden (CERT / CC) Will Dorman tarafından keşfedilen güvenli açığı, RTF‘li (Zengin Metin Formatı) e-posta açıldığında OLE sayesinde SMB bağlantısını otomatik olarak başlattığını tespit etti.

Saldırgan kendisinin oluşturduğu bir SMB sunucusu üzerinden yükleme yapan, içerisinde OLE bağlantısı yer alan RTF dosyasını e-posta olarak kurbana gönderdiğinde bu güvenlik açığından yararlanabiliyor.

Microsoft Outlook, OLE bağlantısını otomatik olarak oluşturduğundan, saldırganın hazırladığı Single sign-on kullanılarak SMB protokolü üzerinden sunucuya otomatik olarak kimlik doğrulaması işlemi başlatır. Kurban, kullanıcı adı ve NTLMv2 parolası ile saldırganın sistem üzerinden erişim kazanmasına izin verebilir…

CERT’in söyledikleri şu şekilde “Bu saldırı, kullanıcının IP adresini, alan adını, kullanıcı adını, ana makine adını ve parola hash’ini sızdırıyor olabilir. Kullanıcının parolası yeterince karmaşık değil ise saldırgan kullanıcı parolasını kısa sürede çözülebilir.

Windows bilgisayarlarınızın neden kimlik bilgilerinizi otomatik olarak saldırganın SMB sunucusuna teslim ettiğini mi düşünüyorsunuz?

Yukarıda yer alan resimde, SMB protokolü aracılığı ile kimlik doğrulama işlemi anlatılıyor.

Dormann, Kasım 2016’da Microsoft’a bu güvenlik açığını bildirdi ve sorunu çözme girişiminde bulunan şirket, Nisan 2018’deki yama güncellemesinde eksik bir düzeltme yayınladı.

Yamada yalnızca Outlook’un, RTF e-postaları görüntülediğinde SMB bağlantısını otomatik olarak başlatmasını önlendiği söyleniyor ancak araştırmacı, düzeltmenin tüm SMB saldırılarını engellemediğini belirtiyor.

Dormann, “Burada kullanıcının bilgilerinin çalınmasının tek tıklama ile gerçekleştiğinin dikkat edilmesi çok önemli.” dedi ve ekledi “Örneklemek gerekirse kullanıcılar okumak istedikleri mailler içerisinde ‘\\’ ile başlayan UNC stili bir bağlantı ile karşılaşırlarsa bağlantıya tıklayarak sunucu ile SMB bağlantısı başlatmış olur.

En güncel Microsoft yamasını yüklediyseniz bu harika, ancak saldırganlar bu güvenlik açığından halen yararlanabilirler. Bu nedenle, Windows kullanıcılarının, özellikle de şirketlerde bulunan ağ yöneticilerinin, bu güvenlik açığını gidermek için aşağıdaki adımları izlemeleri çok önemlidir.

  • Henüz yapmadıysanız CVE-2018-0950 Microsoft güncellemesinin yapınız.
  • Gelen ve giden SMB için kullanılan portları (445/tcp, 137/tcp, 139/tcp, 137/udp ve 139/udp) engelleyin.
  • NTLM Single Sign-on kimlik doğrulamasını engelleyin.
  • Karmaşık parolaları kullanın. Böylece parola hash’leriniz çalınsa bile kolayca kırılamazlar. (Önerimiz min. 12 karakter, küçük harf, büyük harf, sayı ve sembol içermesidir. Bu tür parolaları aklınızda tutamayacağınız için bir parola yönetim uygulaması kullanmanız sizin için harika olacaktır.)
  • En önemlisi şüphe duyduğunuz bir e-posta içerisindeki bağlantıları tıklamayınız.
daha fazla yazı

Yazar Hakkında

Furkan Sayım
Furkan Sayım

Siber Güvenlik Araştırmacısı olmaya çalışan bir Developer

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.