Etiket arşivi: Windows

Microsoft’un Güvenlik Açıkları için Trend Micro’dan Sanal Yama

Trend Micro’nun Sanal Yama çözümü, Microsoft ve diğer platformlarda yaşanan güvenlik açıklarının o açıkla ilgili yama çıkana ve yamanın kurumsal sistemlere uygulanmasına kadar geçen sürede kurumsal yapıları koruyor.

Geçtiğimiz günlerde Microsoft’un tüm Windows sürümlerini etkileyen MS12-020 kodlu uzak masaüstü uygulamalarındaki güvenlik açığı gibi açıklar ortaya çıktığında, açık için yama çıkmış bile olsa kurumlar tarafından sistemlerine uygulanması zaman alıyor. Kurumlar için hayati öneme sahip sistemlerde bu tip yamaların devreye alınmadan önce çeşitli testlerin ve gerektiğinde altyapıda değişiklikler yapılması gerekiyor ki bu da zaman demek. Bu süre zarfında ise kurumun bilgi sistemleri altyapısı tehditlere karşı savunmasız şekilde bekliyor.

Trend Micro’nun Deep Security ve OfficeScan çözümlerinde yer alan sanal yama çözümü, kurumların bilgi teknolojileri sistemleri üzerinde ayrı bir katman oluşturuyor ve bu tip yamaların oluşturabileceği riskleri engelliyor. Bilgi teknolojileri uzmanlarının yamayı sistemlerine entegre etmek için ihtiyaç duydukları test ve geliştirme süresince de kurumun altyapısına bu tip bir açık kullanılarak girilmesini engelliyor.

Trend Micro Akdeniz Ülkeleri Genel Müdürü Ercan Aydın konuyla ilgili olarak, “Gerek kurumsal gerekse bireysel sistemlerde pek çok güvenlik açığı var. Bu açıklar tespit edildikten yaması hazırlanana kadar geçen sürede sistemler savunmasız kalıyor. Yamanın hazırlanmasından sonra da kurumların bu yamayı mevcut yapılarına kurmaları da ayrıca bir zaman gerektiriyor. Öncelikle bir simülasyon yapılıp mevcut yapıda bu yamanın sorun çıkartıp çıkartmayacağı test ediliyor. Eğer sorun çıkartıyorsa mevcut yapıda değişiklik yapılıyor ve sonra testler yenileniyor. En sonunda yama uygulanıyor. Tüm bu süreç, dakikaların bile çok önemli olduğu bilgi güvenliği dünyasında, bazen günler hatta haftalar alabiliyor” diye konuştu.

Aydın, Trend Micro’nun Deep Security ve OfficeScan çözümleri bünyesindeki sanal yama teknolojisinin kurumların tüm bu risklerini ortadan kaldırdığının altını çizdi.

 

Windows’lardaki DUQU açığı giderilemiyor

DUQU kötücül yazılımıyla ilgili yeni geliştirmeleri, bu tehdit ortaya çıktığından beri yakından takip ediyoruz.  Geçtiğimiz günlerde Macaristan merkezli bir güvenlik laboratuvarı, DUQU adlı tehdidin yapısına ışık tutan bazı bilgiler yayınladı.

Bu rapora göre bir Microsoft Word dokümanının tetiklediği güncellemelerin yapıldığı gün (zero-day) kernel açığı (exploit), DUQU’yu harekete geçiriyor. Buna göre, Microsoft Word dosyası ilk olarak bundan birkaç hafta önce duyurulan DUQU’nun bileşenlerini yükleyen dosyaları harekete geçiriyor. Yükleyici dosyalar RTKT_DUQU.B olarak tespit edilen bir .SYS dosyasıyla sisteme TROJ_DUQU.B yükleyen bir .DLL dosyasının birleşimi.

Aşağıda bu tehdidin basitçe nasıl işlediğini görebilirsiniz:

Sıfırıncı gün tehdidinin işleyişiyle ilgili ayrıntılar henüz açığa çıkmış değil. Microsoft konuyla ilgili bir açıklama yaparak açığın varlığını kabul etti ve Salı günü gerçekleştirilen güncellemeler sırasında yamanın bilgisayarlara yüklenmediğini aktardı. Bu nedenle henüz Windows tabanlı bilgisayarların güvende olduğunu söyleyemeyiz.Güvenlik zaafiyeti nedeniyle Win32k TrueType ayrıştırma motorunda bulunuyor ve bilgisayarın izlenmesine izin veriyor. Başarılı bir saldırı, saldırganın kernel modda herhangi bir kod çalıştırmasına izin verebiliyor.

Yeni bilgiler DUQU saldırılarının nasıl gerçekleştiği hakkında daha sağlıklı teorilere sahip olabilmeyi sağlıyor. Microsoft Word’ün kullanımını dikkate aldığımız zaman, bu saldırının ilk olarak hedeflenen organizasyonlardaki çalışanlara gönderilen e-postalar ile gerçekleşmiş olabileceğini düşünüyoruz. Bu bizim daha önce ortaya koyduğumuz DUQU’nun hedeflenen kullanıcılardan bilgi çalmak üzere gerçekleşen geniş kapsamlı saldırının bir parçası olabileceği varsayımımızı destekliyor.

DUQU bileşen dosyalarının gelecek versiyonlarını adreslemek üzere TROJ_DUQUCFG.SME ve RTKT_DUQU.SME’nin proaktif algılayıcısını yarattık. Aynı zamanda Threat Discovery Appliance (TDA), 473 TCP_MALICIOUS_IP_CONN, 528 HTTP_Request_DUQU ve 529 HTTP_Request_DUQU2 kurallarıyla C&C sunucusuna bağlı olan ağ aktivitelerini ve kötücül yazılımları saptayarak kurumsal ağları koruyor.

Bu konuda daha fazla bilgiye ulaşmak için çalışmalarımız sürüyor. Konuyla ilgili sizleri bilgilendirmeye devam edeceğiz.