Birtakım güvenlik şirketleri ve dış araştırmacılar, Microsoft tarafınca imzalanan bir şoförün şifrelenmiş ilişkileri korsanların denetimi altında olan sunucuya yönlendirdiğini deklare etti. Üstelik bu temasların şifresini de çözen şoförün Rootkit olduğu belirlendi. Microsoft, Rootkit entegre edilmiş sürücüyü sertifikalandırarak önemli ölçüde güvenlik zafiyeti oluşturmuş durumda. Çünkü berbat maksatlı bu yazılım, rastgele bir güvenlik uyarısı ile karşılaşılmadan kullanıcıların bilgisayarına yüklenebiliyor.
Microsoft, yaklaşık 13 yıldır kararlılığı ve güvenliği sağlamak maksadıyla işletim sistemlerinin çekirdeğinde çalışan üçüncü taraf şoförleri ve öbür kod bütünlerini test edip imzalandıktan daha sonra kullanıma açıyordu. Çekirdek düzeyinde çalışmaya gereksinim duyan yazılımlar, dijital biçimde sertifikalandırılmadan kullanıcıların bilgisayarlarına katiyen yüklenemiyor. Buradaki kilit nokta Microsoft’un yazılımları gerçek ölçütlerle inceleyip inançlı olup olmadıklarını tescil etmesi.
Yeni ortaya çıkan bu olaya geri dönecek olursak; Haziran ayının başında güvenlik şirketi G Data’da araştırmacı olan Karsten Hahn, şirketin makûs gayeli yazılım tespit sisteminin Netfilter isimli bir sürücüyü işaretlediğini fark etti. Microsoft, Windows Donanım Uyumluluk Programı kapsamında Netfilter isimli sürücüyü doğruladığı için Karsten Hahn, birinci başta berbat hedefli yazılım tespit sisteminin yaptığı bu algılamayı yanılgılı var iseydı. Lakin ondan sonrasında gerçekleştirilen kapsamlı testlerde tespitin yanlış olmadığı anlaşıldı. Takım, öteki araştırmacıların da bu mevzuya dahil olmasıyla bir arada Netfilter’in bilgisayarlarda ne süreç yaptığını incelemeye başladı.
Bilakis Mühendislik alanında çalışmalarını sürdüren Johann Aydınbas, Twitter’da Netfilter’in SSL ilişkilerini gizlice izlediğini ve IP adreslerini bir daha yönlendirme bileşenini kullandığını belirtti. Ayrıyeten Windows Kayıt Defteri kök müsaadesine sahip sertifika yüklediği de ortaya çıktı ki en tehlikeli kısım da burası. Zira kayıt defterine yüklenen kök sertifikası şifrelenmiş site temasları çözebiliyor.
Rootkit; evrak dizinlerinde, nazaranv izleyicilerinde ve öteki standart işletim sistemi fonksiyonlarında görüntülenmesini önleyecek biçimde yazılmış makus gayeli bir yazılım olarak karşımıza çıkıyor. Bu yazılımı başkalarından ayıran en değerli özelliği ise işletim sistemi üzerinde çok yüksek erişim hakkıyla çalışması. olayda yer alan Rootkit ise internet üstündeki sitelere bağlanırken Transfer Katmanı Güvenliği (TLS) olarak bilinen şifrelenmiş protokolü atlatmak için kök sertifikalarını direkt olarak Windows’un kendisine yüklüyor. Sitelere bağlanırken aktarılan bilgilerin şifrelenmesi bu türlü kaldırılmış oluyor ve kullanıcının ulaşmak istediği TLS trafiği makus emelli bir sunucu adresine yönlendirilebiliyor. Haliyle kullanıcının hangi sitelere girdiği ve bu sitelerden hangi dataları indirip yüklediği sunucuda depolanıyor. Art planda olanların farkına varmak da pek sıkıntı.
Şirketin geçen Cuma günü yayınladığı kısa bir gönderide, “Microsoft, oyun ortamlarında berbat niyetli şoförler dağıtan bir aktörü araştırıyor. Kişi, bahsedilen sürücüyü Windows Donanım Uyumluluk Programı aracılığıyla dijital imza için ilgili ünitemize gönderdi. Bu şoför üçüncü şahıs tarafınca kodlanmış. Kişinin sürücüyü bize gönderdiği hesabı askıya aldık ve makus emelli yazılım hakkında geri bildirimleri inceledik.”
Microsoft ayrıyeten Netfilter’ın tanımlama datalarını Windows Defender’ın Antivirus motoruna eklediğini ve bunun yanında başka Antivirus sağlayıcılarına da tanımlama datalarını gönderdiğini belirtti. Netfilter’ın şu basamakta yalnızca Çin’deki oyun topluluklarında yayıldığı ve kurumsal manada sorun olmadığı da açıklananlar içinde. Fakat şirket, bu şoförün Windows Donanım Uyumluluk Programı’ndan nasıl geçtiği ve nasıl imzalandığı hakkında hemen çabucak bir bilgi paylaşmadı. Mevzuyla alakalı fikirlerinizi yorumlarda belirtmeyi unutmayın.
Microsoft, yaklaşık 13 yıldır kararlılığı ve güvenliği sağlamak maksadıyla işletim sistemlerinin çekirdeğinde çalışan üçüncü taraf şoförleri ve öbür kod bütünlerini test edip imzalandıktan daha sonra kullanıma açıyordu. Çekirdek düzeyinde çalışmaya gereksinim duyan yazılımlar, dijital biçimde sertifikalandırılmadan kullanıcıların bilgisayarlarına katiyen yüklenemiyor. Buradaki kilit nokta Microsoft’un yazılımları gerçek ölçütlerle inceleyip inançlı olup olmadıklarını tescil etmesi.
Yeni ortaya çıkan bu olaya geri dönecek olursak; Haziran ayının başında güvenlik şirketi G Data’da araştırmacı olan Karsten Hahn, şirketin makûs gayeli yazılım tespit sisteminin Netfilter isimli bir sürücüyü işaretlediğini fark etti. Microsoft, Windows Donanım Uyumluluk Programı kapsamında Netfilter isimli sürücüyü doğruladığı için Karsten Hahn, birinci başta berbat hedefli yazılım tespit sisteminin yaptığı bu algılamayı yanılgılı var iseydı. Lakin ondan sonrasında gerçekleştirilen kapsamlı testlerde tespitin yanlış olmadığı anlaşıldı. Takım, öteki araştırmacıların da bu mevzuya dahil olmasıyla bir arada Netfilter’in bilgisayarlarda ne süreç yaptığını incelemeye başladı.
Bilakis Mühendislik alanında çalışmalarını sürdüren Johann Aydınbas, Twitter’da Netfilter’in SSL ilişkilerini gizlice izlediğini ve IP adreslerini bir daha yönlendirme bileşenini kullandığını belirtti. Ayrıyeten Windows Kayıt Defteri kök müsaadesine sahip sertifika yüklediği de ortaya çıktı ki en tehlikeli kısım da burası. Zira kayıt defterine yüklenen kök sertifikası şifrelenmiş site temasları çözebiliyor.
Rootkit; evrak dizinlerinde, nazaranv izleyicilerinde ve öteki standart işletim sistemi fonksiyonlarında görüntülenmesini önleyecek biçimde yazılmış makus gayeli bir yazılım olarak karşımıza çıkıyor. Bu yazılımı başkalarından ayıran en değerli özelliği ise işletim sistemi üzerinde çok yüksek erişim hakkıyla çalışması. olayda yer alan Rootkit ise internet üstündeki sitelere bağlanırken Transfer Katmanı Güvenliği (TLS) olarak bilinen şifrelenmiş protokolü atlatmak için kök sertifikalarını direkt olarak Windows’un kendisine yüklüyor. Sitelere bağlanırken aktarılan bilgilerin şifrelenmesi bu türlü kaldırılmış oluyor ve kullanıcının ulaşmak istediği TLS trafiği makus emelli bir sunucu adresine yönlendirilebiliyor. Haliyle kullanıcının hangi sitelere girdiği ve bu sitelerden hangi dataları indirip yüklediği sunucuda depolanıyor. Art planda olanların farkına varmak da pek sıkıntı.
Şirketin geçen Cuma günü yayınladığı kısa bir gönderide, “Microsoft, oyun ortamlarında berbat niyetli şoförler dağıtan bir aktörü araştırıyor. Kişi, bahsedilen sürücüyü Windows Donanım Uyumluluk Programı aracılığıyla dijital imza için ilgili ünitemize gönderdi. Bu şoför üçüncü şahıs tarafınca kodlanmış. Kişinin sürücüyü bize gönderdiği hesabı askıya aldık ve makus emelli yazılım hakkında geri bildirimleri inceledik.”
Microsoft ayrıyeten Netfilter’ın tanımlama datalarını Windows Defender’ın Antivirus motoruna eklediğini ve bunun yanında başka Antivirus sağlayıcılarına da tanımlama datalarını gönderdiğini belirtti. Netfilter’ın şu basamakta yalnızca Çin’deki oyun topluluklarında yayıldığı ve kurumsal manada sorun olmadığı da açıklananlar içinde. Fakat şirket, bu şoförün Windows Donanım Uyumluluk Programı’ndan nasıl geçtiği ve nasıl imzalandığı hakkında hemen çabucak bir bilgi paylaşmadı. Mevzuyla alakalı fikirlerinizi yorumlarda belirtmeyi unutmayın.