Son dönemlerde, siber güvenlik alanındaki tehditler giderek daha karmaşık hale gelirken, araştırmalar yeni saldırı yöntemlerini ortaya koymaya devam ediyor. İsrail Hava Yolları’ndan Kim Dvash tarafından geliştirilen GhostLock aracı, Windows dosya API’sinin kötüye kullanımıyla dosyalara erişimi engelleyerek büyük bir güvenlik riski oluşturuyor.

Saldırı Nasıl Çalışıyor?

GhostLock tekniği, Windows’un CreateFileW API’sını ve dosya paylaşım modlarını kullanarak, aktif olan dosya tanıtıcıları (handles) aracılığıyla başka kullanıcıların veya uygulamaların dosyaları açmasını engelliyor. dwShareMode parametresi, bir dosya açıldığında diğer süreçlerin o dosyaya erişim türünü belirler. Aşağıdaki durumlarda, dwShareMode = 0 olarak ayarlandığında, Windows sürece dosyanın tekil erişimini verir ve diğer kullanıcıların veya uygulamaların dosyayı açmasını engeller.

Örneğin, aşağıdaki kod, finance.xlsx dosyasını tekil modda açarak başka süreçlerin ona erişimini engeller:

HANDLE hFile = CreateFileW(
    L"\\server\share\finance.xlsx",
    GENERIC_READ,
    0,
    NULL,
    OPEN_EXISTING,
    FILE_ATTRIBUTE_NORMAL,
    NULL
);

Dosyayı açmaya çalıştığınızda, Windows aşağıdaki STATUS_SHARING_VIOLATION hata mesajını gösterecektir.

Etkilenen Sistemler

GhostLock, çok sayıda dosyayı aynı anda açarak SMB paylaşımında bu dosyalara erişim engeli oluşturmak için “standart” kullanıcılar tarafından çalışan bir araçtır. Saldırganlar, birden fazla tehlikeye atılmış cihazdan saldırıyı başlatarak dosya tanıtıcılarını sürekli olarak yeniden edinmekte ve etkin sistemler baktıktan sonra erişimi engelleyebilir.

Saldırıdan etkilenen sistemlerde, SMB oturumu sonlandırıldığında, GhostLock işlemleri sonlandırılır veya sistem yeniden başlatıldığında, Windows otomatik olarak tanıtıcıları kapatır ve dosyalara erişimi geri sağlar. Dvash, bu tekniğin esasen bir bozucu saldırı olarak değerlendirilmesi gerektiğini belirtmektedir; tahrip edici bir saldırı yerine operasyonel kesintilere yol açar.

Çözüm ve Korunma

GhostLock, genellikle kötü niyetli dosya yazma veya şifreleme işlemlerini tespit etmeye odaklanan birçok güvenlik ürünü ve davranışsal tespit sistemlerinden kaçınmak için tasarlanmıştır. Aşağıdaki önlemler alınarak bu saldırı türüne karşı korunabilirsiniz:

• Dosya sunucu katmanında oturum başına açık dosya sayısını izlemek.
• SIEM sistemleri için önerilen sorguları ve NDR algılama kurallarını kullanmak.
• Güvenlik güncellemelerini sürekli takip ederek sistemlerinizi güncel tutmak.

Dvash, sistem yöneticilerine saldırının tespitine yönelik bazı şablon önerilerini içeren GhostLock beyaz kitabını yayınladığını belirtmiştir. Bu belge, IT takımları ve savunucular için kullanılabilir.

Sonuç

Okuyucuların, sistemlerinde güncellemeleri yapmaları ve SMB paylaşım ayarlarını gözden geçirmeleri büyük önem taşımaktadır. Aksi takdirde, dosyalara erişim engeli oluşturan bu tekniklerden etkilenebilirler. Ağ üzerinde potansiyel tehditleri izlemek ve saldırı girişimlerine karşı caydırıcı olmak için proaktif adımlar atılmalıdır.

Arc Raiders, son güncellemesiyle birlikte yeni düşmanlar, envanter yönetimi araçları ve harita unsurları ekleyerek oyunculara taze bir deneyim sunuyor. Ancak, bu güncelleme bazı kullanıcılar için sık sık oyunun çökmesine sebep oldu. Bu durum, özellikle bir baskın sırasında rahatsız edici olabiliyor.

Yeni İçerik ve Özellikler

• Yeni Arc düşmanı
• Geliştirilmiş envanter yönetim araçları
• Yeni harita değişkenleri
• Yeni görünümler: Nascosto Set ve Scrappy Speckled Set

Güncellemenin önemli bir noktası ise çökme sorunlarının giderilmesi. Patch notlarında “Çökmeye neden olabilecek birden fazla sorunun düzeltildiği” bilgisi yer alıyor. Detaylı açıklama yapılmamış olsa da, yapılan denemelerde çökme sorunu yaşamayan kullanıcılar olduğu gözlemleniyor. Bu, umarız kalıcı bir çözüm sağlar.

Diğer Güncellemeler ve Duyurular

Diğer düzeltmeler genel itibarıyla küçük, ancak dikkat çeken iki değişiklik bulunuyor. Birincisi, “Stella Montis”te görüş hattı olmadığında oyuncuların Arc’ın sesinin beklenenden daha düşük çıkmasına neden olan bir sorun giderildi. İkincisi ise, Hava Durumu İzleme İstasyonu Projesi’ne katkıda bulunan ancak zamanında tamamlayamayan oyuncular, yakında ödüllerini alabilecekler.

Arc Raiders, genellikle her Salı güncellemeler alıyor. Ancak, Embark, bir sonraki güncellemenin “Riven Tides” güncellemesi öncesinde planlanmadığını duyurdu. Bu nedenle, oyuncuların değişiklikleri beklemesi için bir süre daha olacak.

Sizce, bu tür sorunlarla karşılaşmanın oyun deneyimini nasıl etkilediğini düşünüyorsunuz?

Google, Chrome web tarayıcısına yönelik olarak Aygıta Bağlı Oturum Kimlik Bilgileri (DBSC) özelliğini genel kullanım için erişilebilir hale getirdi. Bu yenilik, oturum hırsızlığına karşı önemli bir adım olarak, kullanıcıların çevrimiçi hesaplarını koruma konusunda önemli bir rol üstleniyor.

Saldırı Nasıl Çalışıyor?

Oturum hırsızlığı, web tarayıcısından oturum çerezlerinin gizlice dışarı aktarılması anlamına gelir. Bu genellikle şu yöntemlerle gerçekleşir:

• Kullanıcıların farkında olmadan bilgi çalan zararlı yazılımlar indirmesi.
• Kurbanın bir hesaba giriş yapmasını bekleyerek çerezleri toplamak.

Zararlı yazılım aileleri (örneğin, Atomic, Lumma ve Vidar Stealer) çeşitli bilgileri toplama yeteneğine sahiptir. Oturum çerezlerinin genellikle uzun bir ömre sahip olması nedeniyle, saldırganlar bu çerezleri kullanarak şifreleri bilmeden kurbanların çevrimiçi hesaplarına yetkisiz erişim sağlayabilir. Toplanan bu çerezler, diğer tehdit aktörlerine maddi kazanç sağlamak amacıyla paketlenir ve satılır.

Etkilenen Sistemler

Bu özellik şu an için sadece Windows kullanıcılarına özeldir ve Chrome 146 sürümünde kullanılabilir. macOS desteğinin gelecekteki bir Chrome sürümünde sunulması planlanmaktadır.

Çözüm ve Korunma

DBSC, oturum kimlik bilgilerini belirli bir cihaza kriptografik olarak bağlayarak bu kötüye kullanımları önlemeyi hedefliyor. Google, şu şekilde açıklıyor:

• Aygıt spesifik güvenlik modülleri (örneğin, Windows’taki Trusted Platform Module (TPM) ve macOS’taki Secure Enclave) kullanarak, dışarıya aktarılamayan benzersiz bir genel/özel anahtar çifti oluşturur.
• Yeni kısa ömürlü oturum çerezlerinin verilmesi, sunucuya karşılık gelen özel anahtarın mülkiyetinin Chrome tarafından ispatlanmasına bağlıdır.

Saldırganlar bu anahtarı çalamayacağı için dışarıya aktarılan çerezler hızla süresini doldurur ve geçersiz hale gelir.

Aksiyon

Bu gelişmeler ışığında, kullanıcıların aşağıdaki önlemleri almaları önerilmektedir:

• Chrome tarayıcınızı 146 sürümüne güncelleyin.
• Olası zararlı yazılımlardan korunun ve güvenilir kaynaklardan indirme yapın.
• Güvenlik ayarlarınızı gözden geçirin ve gerektiğinde güncellemeleri yapın.

Bu adımlar, oturumlarınızı koruma ve çevrimiçi güvenliğinizi sağlamada önemli bir katkı sağlayacaktır.

Apple, kullanıcılarını DarkSword adındaki yeni bir exploit kitinden korumak amacıyla iOS 18.7.7 ve iPadOS 18.7.7 güncellemelerini geniş bir cihaz yelpazesine sunarak önemli bir adım attı. Bu güncellemelerin zamanında uygulanması, kullanıcıların siber saldırılara karşı güvenliğini artıracaktır.

Saldırı Nasıl Çalışıyor?

DarkSword exploit kiti, saldırganların belirli kullanıcıları hedef almasını sağlayan bir araçtır. Kullanıcı, güvenilir görünen ancak kötü amaçlı kod barındıran bir web sitesini ziyaret ettiğinde, saldırı tetiklenir. Bu saldırı, şunları içerebilir:

• Arka kapılar (backdoors) bırakarak sisteme kalıcı erişim sağlama
• Veri hırsızlığı için veri madencisi (dataminer) kullanma

Söz konusu kit, iOS 18.4 ile 18.7 arasındaki cihazları hedef alabilmektedir. Kullanıcıların bu tür saldırılara açık olması, ciddi güvenlik açıklarını ortaya çıkarmaktadır.

Etkilenen Sistemler

Güncelleme, aşağıdaki cihaz modellerine destek sağlamaktadır:

• iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (tüm modeller), iPhone SE (2. nesil), iPhone 12 (tüm modeller), iPhone 13 (tüm modeller), iPhone SE (3. nesil), iPhone 14 (tüm modeller), iPhone 15 (tüm modeller), iPhone 16 (tüm modeller) ve iPhone 16e
• iPad mini (5. nesil – A17 Pro), iPad (7. nesil – A16), iPad Air (3. – 5. nesil), iPad Air 11 inç (M2 – M3), iPad Air 13 inç (M2 – M3), iPad Pro 11 inç (1. nesil – M4), iPad Pro 12.9 inç (3. – 6. nesil) ve iPad Pro 13 inç (M4)

Çözüm ve Korunma

Apple, kullanıcıların güvenliğini artırmak amacıyla güncellemeleri zorunlu hale getirmektedir. DarkSword’a karşı koymak için öncelikli adımlar şunlardır:

• Güncellemeleri yapın: iOS 18.7.7 ve iPadOS 18.7.7 versiyonuna geçiş yaparak güvenlik açıklarınızı kapatın.
• Otomatik güncellemeleri etkinleştirin: Böylece gelecekteki güncellemeleri hızlıca alabilirsiniz.
• Eski sistemler için güvenlik güncellemelerini uygulayın: iOS 15.8.7 ve iOS 16.7.15 gibi eski sürümlerdeki güncellemeleri de yapın.

Güvenlik bilincinin artırılması ve cihazların sürekli güncel tutulması, bu tür siber tehditlere karşı korunmanın en etkili yoludur.

Sonuç

Kullanıcıların,  güvenlik açıklarını kapatmak  ve cihazlarını korumak için gerekli güncellemeleri acilen yapmaları gerekmektedir. Ayrıca, sürekli olarak güncellemelerin takip edilmesi ve otomatik güncelleme ayarlarının aktivasyonu önem taşımaktadır. Unutmayın, güvenlik, sürekli bir süreçtir ve proaktif yaklaşım gerektirir.