Merhaba sevgili Adli Bilişim severler. Bu yazımda sizlere Zer0day ataklarından bahsedeceğim.

Zer0day yani sıfırıncı gün açıklıkları bir geliştiricinin veya satıcının önceden bilinmeyen veya tespit edilmemiş ancak sömürüldüğünde ciddi saldırılara yol açacak  zafiyetler barındıran yazılım ve donanım kusurlarıdır. Zer0day açıklıkları çoğunlukla saldırı gerçekleşene kadar tespit edilmesi zor olan zafiyetlerdir. Saldırganlar geliştiricilerin bir yama veya düzeltme yayınlamasına imkan vermeden bu zafiyeti istismar etmesi ve zararlı yazılımı yaymasıyla gerçekleşir.

Normalde bir yazılımın potansiyel bir güvenlik sorunu içerdiği tespit edildiğinde, geliştirici veya söz konusu şirket en kısa sürede kodu düzeltebilir ve bir yama veya bir yazılım güncellemesi dağıtabilir.

Ancak zer0day açıklığını ilk fark eden kişi bilgisayar korsanı da olabilir. Bu durumda güvenlik açığı önceden bilinmediği için, bilgisayar korsanına karşı korunmanın bir yolu yoktur. Bu açıkları sömürenler yıllarca farkedilmeden girebilir ve genellikle karaborsada büyük miktarda para karşılığında bu açıklıklar satılır. Bu tür istismara maruz kalan şirketler erken teşhis için prosedürler kurabilir.

Bir bilgisayar korsanı değil de bir güvenlik araştırmacısı böyle bir zafiyet bulursa satıcılarla işbirliği yaparak genellikle zer0day açıklığını  yayınlamadan önce makul bir süre yani geliştirici bir yama yayınlayana kadar bu açıklığı saklamayı kabul eder.

Örneğin  Google Project Zero, güvenlik açığı tespit edince bu açığı kamuya duyurmadan önce  geliştiriciye veya satıcıya bu açığın kapatılması için 90 güne kadar süre tanıyan endüstri kurallarına uymaktadır. Ancak açıklık Kritik ise satıcının veya geliştiricinin yama yapmasına sadece 7 gün izin verir. Aynı zamanda bu zer0day ‘den aktif olarak yararlanılıyorsa Zero Project yama süresini 7 günden daha aşağı da indirgeyebilir.

Zer0day sömürülerine karşı gelmek zordur, çünkü tespit edilmeleri zordur. Önceden bilinemediğinden, gerçekleşmeden önce belirli bir istismara karşı korunmanın bir yolu yoktur. Ancak, şirketlerin risk maruziyet seviyelerini azaltmak için yapabilecekleri bazı şeyler var.

  • Sanal yerel ağlar ağının bazı alanlarda ayırmak veya sunucular arasında akan duyarlı trafiği izole ederek fiziksel veya sanal ağ segmentlerini kullanmak.
  • IPsec ağ trafiği için şifreleme ve kimlik doğrulama uygulamak için, IP güvenlik protokolü kullanmak.
  • İmza tabanlı IDS ve IPS güvenlik ürünleri saldırıyı belirleyemese de, saldırının yan etkisi olarak ortaya çıkan şüpheli faaliyetler hakkında uyarılara dikkat etmek.
  • Kablosuz ağ erişim noktalarını kilitleyin ve kablosuz saldırılara karşı maksimum koruma için WİFİ Korumalı Erişim gibi güvenlik planları kullanılmalı.
  • Tüm sistemler yamalı veya güncel tutulmalı. Yamalar zer0day ataklarını durduramasada ağ kaynaklarını tamamen yamalanmış tutmak bir saldırının başarılı olmasını zorlaştırabilir.
  • Zer0day bir yama kullanıma sunulduğunda, mümkün olan en kısa zamanda kullanın.
  • Kurumsal ağlarda düzenli olarak güvenlik açığı taraması yaparak bulunan tüm açıkları kilitleyin.
  • Tek paket yetkilendirmesi, zer0day saldırılara karşı daha az kullanıcılı bir ağda etkin koruma sağlanmasına yardımcı olabilir.

Zer0day bir saldırıdan etkilenirseniz, hasarı azaltmak için kapsamlı bir felaket kurtarma stratejisinin uygulanması kritik öneme sahiptir. Bu, veri yedekleme için yerinde ve bulut tabanlı depolama kombinasyonunu içerir. Bu saldırılar için en yaygın kurtarma yöntemlerinden biri, fiziksel olarak (veya ağ tabanlı bir güvenlik duvarı aracılığıyla), bu özellikten yararlanabilecek olan herkesten tüm erişimi kaldırmaktır. Örneğin, eğer WordPress tam, kimliği doğrulanmamış okuma / yazma erişimi sağlayan sıfır günlük bir açıklığa karşı savunmasızsa, bir yama yayınlanıncaya kadar web sitesi kapatılmalıdır.

Yama yazılıp kullanıma alındıktan sonra açıklık artık zeroday olarak adlandırılmaktan çıkmaktadır. Zeroday açıklıklarının tespit edilme süreci bazen aylar hatta yıllar almaktadır.

Zer0days saldırı örnekleri

  • 2010, “Tarayıcılar için Sıfır Gün Güvenlik Açığı Yılı” olarak bilinir. Adobe ürünleri (Flash, Reader), Internet Explorer, Java, Mozilla Firefox, Windows XP ve diğerleri, sıfır günlük uygulamalardan etkilendi.
  • 2016’da, Adobe Flash Player’da daha önce keşfedilmemiş bir kusurdan yararlanan sıfır günlük bir saldırı (CVE-2016-4117) vardı .
  • 2016’da, 100’den fazla kuruluş, Microsoft Windows’u hedef alan bir ayrıcalık saldırısı nedeniyle sömürülen sıfır günlük bir hataya (CVE-2016-0167) yenildi .
  • 2017’de, zengin metin biçimindeki bir Microsoft Office belgesinin, açıldığında PowerShell komutlarını içeren bir görsel temel komut dosyasının yürütülmesini tetikleyebildiği gösterilmiş sıfır günlük bir güvenlik açığı (CVE-2017-0199) keşfedildi .
  • 2017 istisnası (CVE-2017-0261), kapsüllenmiş PostScript’i, kötü amaçlı yazılım enfeksiyonlarını başlatmak için bir platform olarak kullandı.

Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar.