Güvenlik 05 MAYIS 2014 / 15:13

Sıfır gün açığı engellendi

Suriye’deki hukuk ihlalleri ile ilgili kamusal şikayetlerin toplandığı, devlete ait yasal bir web sitesi üzerinden dağıtılan açıklardan yararlanma amaçlı kodların hedefindeki bu açıklık, Kaspersky Lab’ın bulgusal algılama koruma alt sistemi tarafından keşfedildi.Nisan ayı ortasında, Kaspersky Lab uzmanları tarafından tespit edilen, daha önce görülmemiş bir kod yakından incelendiğinde, açıklardan yararlanma amaçlı olan bu kodun yaygın şekilde kullanılan multimedya yazılımı Adobe Flash Player'da daha önce görülmemiş bir zayıf nokta kullandığı ortaya çıktı. Bu zayıf nokta, video ve fotoğraf işlemleri için tasarlanmış eski bir bileşen olan Pixel Bender içinde bulunuyor.
Sonraki araştırmalarda bu kodların, 2011 yılında Suriye Adalet Bakanlığı tarafından hukuk ihlalleri ile ilgili şikayetlerde bulunulması için yapılmış bir web sitesinden dağıtıldığı görüldü. Kaspersky, saldırının hükümet karşıtı muhalifleri hedef almak üzere tasarlandığını düşünüyor. Kaspersky Lab uzmanları, farklı shellcode'lara (bir yazılımdaki zayıf noktalardan yararlanılması sırasında yararlı bir yük gibi kullanılan küçük bir kod) sahip toplamda iki türde açıklardan yararlanma amaçlı kod keşfetti.
Konu ile ilgili açıklamada bulunan Kaspersky Lab Zayıf Nokta Araştırma Grubu Başkanı Vyacheslav Zakorzhevsky; “İlk kod, oldukça ilkel bir indir ve çalıştır kod yükü davranışı gösteriyor. İkinci kod ise, özellikle bir sunucunun bilgisayarının masaüstünde bulunan belge ve resimlerin birlikte görüntülenmesi gibi ortak çalışmalara yönelik özel bir Flash eklentisi olan Cisco MeetingPlace Express Add-In ile etkileşim içinde olmayı deniyor. Tamamen yasal olan bu eklenti, bu özel durumlarda bir casusluk aracı olarak kullanılabiliyor. Ayrıca bu ‘ikinci’ kodun yalnızca saldırı almış bilgisayardaki belirli Flash Player ve CMP Add-In sürümlerinde çalıştığını tespit ettik. Bu durum, saldırganların büyük olasılıkla oldukça kısıtlı sayıda bir kurban listesini hedef aldığı anlamına geliyor” dedi.
Açıklardan yararlanma amaçlı ilk kodun fark edilmesinden hemen sonra Kaspersky Lab uzmanları, Adobe temsilcilerini bu yeni zayıf nokta hakkında bilgilendirmek üzere onlarla bağlantıya geçti. Kaspersky Lab tarafından sağlanan bilgilerin incelenmesinin ardından Adobe, bu zayıf noktanın bir sıfır gün durumu barındırdığını onayladı ve şu anda Adobe'un web sitesinden ulaşılabilen bir yama geliştirdi. Bu zayıf noktanın CVE numarası ise CVE-2014-0515.
Bu zayıf noktadan yararlanmayı amaçlayan sadece sınırlı sayıda girişim olmasına rağmen, kullanıcıların Adobe Flash Player yazılım sürümlerini güncellemelerini öneren Vyacheslav Zakorzhevsky, “Bu zayıf nokta ile ilgili bilgilerin bir kere ortaya çıkması ile suçluların bu yeni kodları tekrar üretmeye çalışması ya da mevcut değişkenleri bir şekilde elde edip başka saldırılarda kullanmaları oldukça yüksek bir ihtimal. Herhangi bir yama çıkarılmış olsa bile, oldukça yaygın bir kullanıma sahip olan Flash Player yazılımının dünya genelinde bir güncelleme çıkarmasının biraz zaman alacak olmasından dolayı, siber suçlular bu zayıf noktadan faydalanmayı düşünebilirler. Ne yazık ki bu zayıf nokta bir süreliğine tehlike arz ediyor” dedi.
Bulgusal algılama alt sistemi
Bulgusal algılama alt sistemi, Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business ve diğerleri gibi ev ve kurumsal kullanıcılara yönelik çoklu Kaspersky Lab ürünlerinde kullanılan antivirüs motorunun bir parçası. Tıpkı geleneksel bir anti virüs yazılımı gibi bu sistem, kötü amaçlı yazılımları tespit edebilmek için imza veri tabanlarını kullanıyor. Ancak, anti virüs teknolojisi, çoğunlukla kötü amaçlı yazılımın her bir parçası için imza gerektirirken bulgusal algılama ise, ne kadar yakından ilişkili olursa olsun kötü amaçlı programların her çeşidini kapsayabiliyor. Sadece kötü amaçlı yazılım parçalarını değil, aynı zamanda barındırdıkları diğer özelliklere göre gruplandırılmış kötü amaçlı programları da tespit eden özel imzalar ile buluşsal yöntemleri kullanıyor. Adobe Flash içindeki bu yeni sıfır gün açığından yararlanan kodun davranışını kapsayan bulgusal imza, Kaspersky Lab veri tabanlarına Ocak ayından önce eklendi.
Dahası, Kaspersky Lab uzmanları tarafından yürütülen özel bir test sırasında, CVE-2014-0515 kullanan kodların, bilinmeyen tehditlerin saptandığı diğer bir güçlü araç olan Kaspersky Lab’in Automatic Exploit Prevention teknolojisi ile kesin olarak tespit edildiği keşfedildi.
Aynı teknoloji Kasım 2013'te Microsoft Office yazılımındaki bir sıfır gün açığının kullanılması ile gerçekleştirilen saldırıları başarıyla engellemişti. Ayrıca bu teknoloji 2012'nin sonunda, daha sonra Kaspersky Lab araştırmacıları tarafından Ocak 2013'te tespit edilmiş geniş ölçekli bir siber casusluk kampanyası olan Red October'a ait birçok kötü amaçlı bileşeni proaktif olarak engellemeyi başarmıştı.