Zombieload Saldırısı

Son bir kaç günde fark edilen Intel işlemcilerde bulunan bu açık, saldırganların, bilgileriniz ve şifrelerinizi bilgisayarınız onlara eriştiği sırada çalmasına sebebiyet veriyor.

Programlar sadece kendi bilgilerini görürken, kötü niyetli bir program fillbuffer dediğimiz işleme saldırarak sadece diğer çalışan programların ulaşabileceği bilgileri eline geçirebilir.

Fillbuffer: Bir programın buffer’ını belirli bytelarla doldurup dizinden okuma işlemi.

Bu bilgiler kullanıcı seviyesi sırlar olabilir, örneğin tarayıcı geçmişi, websitesi içerikleri, kullanıcı anahtarları ve şifreleri. Sistem seviyesindeki bilgilere de ulaşılabilir, disk şifreleme anahtarları gibi.

Bu Açıktan Etkilenen

Yazılımlar:

  • Şimdilik her işletim sisteminin her versiyonu. (Windows, Linux, MacOS, BSD’ler…)
  • Tüm hipervizörler. (VMWare, HyperV, KVM, VirtualBox…)
  • Zaptedici çözümlerin hepsi. (Docker, LXC, OpenVZ…)
  • Kritik bilgileri korumak için SGX yerleşim bölgelerini kullanan kodların tamamı.

CPU’lar:

  • Intel Core ve Xeon CPU’lar.
  • Meltdown/L1TF hafifletmeleri bulunan bazı CPU’lar bu saldırı bir kaç türünden etkilenir.
  • Bu saldırı Intel olmayan CPU’larda işe yaramadığı için sadece Intel CPU’larda bulunan donanımsal bir hatadan kaynaklandığı düşünülmektedir.

Saldırı Örnekleri

URL Oluşturma

Bu senaryoda, hedef tarafından kullanılan websitelerini yeniden oluşturuyoruz.

An unprivileged attacker with the ability to execute code can reconstruct URLs being visited in Firefox.

Basit olarak, saldırgan sızdırılan bilgileri kontrol edemez, ilgi çekici bilgileri filtrelemesi zorunludur. Bundan dolayı, program tipik URL prefixlerini arıyor.

Oturumdaki cookielerin ya da kredi kartı numaralarının tahmin edilebilir bir önemlilikte olduğunu unutmayınız. Bu sebeple bu tür saldırılar için gerçekçi bir hedef temsil ederler.

Anahtar Kelime Belirlenmesi

Bu senaryoda sürekli olarak Zombieload ile veri örneklenir ve sızdırılan değerleri daha önceden belirlenmiş anahtar kelimelerle eşleştirilir.

Not olarak, videoda VM içinde çalışan bir tarayıcı gösterilmektedir. Zombieload, kardeş Hyperthread’ler arasından sanal makine sınırlarını dinlemeden rahatlıkla sızabilmektedir.

Korunma ve Saldırıyı Fark Etme

Üzülerek belirtiyorum ki, bu açık çok yeni olduğundan, maalesef bu saldırıyı şimdilik fark etme olanağı çok düşük. Bu açığı antivirüs programları ve internet güvenlik süitleri belirleyemiyor.

Fakat şunu belirtmeliyim ki, 2011 ve sonrası çıkışlı ve aynı zamanda Intel işlemcili bir bilgisayarınız varsa bu saldırıya karşı tamamen savunmasız olma ihtimaliniz çok yüksek.

Android cihazlar bu açıktan etkilenmeyecektir fakat Google’ın güvenlik bültenine göre Intel yakın zamanda Intel işlemcili Android cihazlar için bir yama çıkarmaya ihtiyaç duyacak.

Windows bilgisayarlar ve laptoplar bu açığa yakalanma riski yüksek olan makinelerdir çünkü büyük bir çoğunluğu Intel işlemci kullanır. Zombieload, Windows 7, Windows XP ve Windows 10 kullanan makineleri etkiler. Ama Windows çoktan bu açığa karşı Windows 10 ve önceki sürümlerine güvenlik yaması yolladı bile.

Mac cihazlar da Zombieload’dan paylarını almıştır. Mac de çoktan macOS Mojave 10.14.5 için 2011’den sonra çıkan tüm cihazları kapsayan güvenlik yaması yolladı. Fakat görünüşe göre yamaların hepsi uygulandığında, cihazın performansında %40 oranında bir düşüş olduğu saptandı. Bu Mac kullanıcılarının pek de hoşuna gitmedi diyebiliriz.

Intel işlemci kullanan Linux işletim sistemli cihazlar da etkileniyor bu açıktan. Greg-Kroah-Hartman, stabil Linux çekirdek sağlayıcısı, Linux çekirdek 5.1.2 versiyonunu yayınladı. Yayınlama notlarında “Çekirdek 5.1 kullanıcılarının hepsi kesinlikle güncellemelidir. Aslında, bekleyin, şöyle söylemeliyim ki… 2011’den beri yapılan Intel işlemciye sahip bütün cihaz kullanıcıları kesinlikle güncellemelidir.” dedi.

Bu açık yeni ve tehlikeli olduğundan tüm okurlarımın dikkatli olmasını öneriyor, hepinizin önemli bilgi ve şifrelerinizin güvende kalmasını diliyorum.

Bir sonraki yazıda görüşmek üzere!

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir