Çoğu güvenlik felaketi, bir yöneticinin rutin bir işlemiyle başlar. Bir bağlantı tıklanır, bir araca güvenilir, bir depolama kovası adı yeniden kullanılır, bir ayar gevşek bırakılır çünkü kimse dokunmak istemez. Bu haftaki ThreatsDay raporu, işte bu türden hasarlarla dolu; ne gürültülü ne de akıllıca, sadece küçük boşlukların büyük işler başardığı sıradan anlar. En kötü yanı, fatura gelene kadar her şeyin normal görünmesi.
Bu haftanın en değerli dersi 'anormal davranışları izleyin' değil. Anormallik çok geç kalır. O zamana kadar sahte destek çağrısı bir oturum açmış, paket çalıştırılmış, depolama kovası kaybolmuş ve sessiz süreç veri gönderecek bir adres bulmuştur. Bunun yerine normal yolları izleyin: neredeyse doğru görünen adlar, biraz fazla izin isteyen araçlar, eski duruma güvenen hizmetler, gitmemesi gereken trafik. Buradaki hasarın çoğu sihir gerektirmedi; izin, alışkanlık ve yeterince yakından bakmayan birilerini gerektirdi.
Bulut depolama kovalarının ele geçirilmesi (bucket hijacking) bu haftanın en çarpıcı örneklerinden biri. Kova adlarının yeniden kullanılması veya varsayılan ayarların değiştirilmemesi, saldırganların bu kaynakları ele geçirmesine olanak tanıyor. Bir kez ele geçirildiğinde, saldırganlar kovayı kötü amaçlı yazılım dağıtmak veya hassas verileri sızdırmak için kullanabilir. Bu tür saldırılar genellikle fark edilmez çünkü trafik normal görünür; sadece hedef biraz farklıdır.
Windows'ta ayrıcalık yükseltme (LPE) zincirleri de bu hafta dikkat çekiyor. Güvenlik araştırmacıları, Windows'un çekirdek sürücülerindeki ve hizmetlerindeki küçük güvenlik açıklarını birleştirerek tam sistem kontrolü elde eden saldırı zincirleri belirledi. Bu zincirler, tek başına zararsız görünen ancak bir araya geldiğinde ölümcül olan hataları kullanıyor. Örneğin, bir sürücünün imza doğrulamasını atlamak veya bir hizmetin ayrıcalıklarını kötüye kullanmak gibi.
Gelecekte Ne Bekleniyor?
Küresel dolandırıcılık operasyonları da bu haftanın önemli başlıklarından. Birden fazla ülkede eş zamanlı operasyonlarla, sahte destek çağrıları ve kimlik avı kampanyaları düzenleyen suç ağları çökertildi. Bu operasyonlar genellikle kurbanları arayarak bilgisayarlarında virüs olduğunu söylüyor ve uzaktan erişim izni alarak banka hesaplarını boşaltıyor. Bu tür saldırılar, insan hatasından ve güven duygusundan yararlanıyor.
Nasıl Önlem Alınmalı?
Peki bu tehditlere karşı ne yapılabilir? İlk adım, varsayılan ayarları değiştirmek ve kova adlarını benzersiz kılmak. İkinci olarak, Windows sistemlerinde en az ayrıcalık prensibini uygulamak ve düzenli güvenlik güncellemeleri yapmak. Üçüncü olarak, çalışanları sahte destek çağrılarına karşı eğitmek ve iki faktörlü kimlik doğrulama kullanmak. Unutmayın, güvenlik sihir değil, sürekli dikkat ve sağlam yönetim gerektirir. Küçük adımlar büyük felaketleri önleyebilir.
Kaynak: thehackernews.com