The Shadow Brokers adlı grup , swift ağlarına yapılan atak detaylarının (http://lostar.com.tr/2017/04/nsa-swift-agina-ziyareti.html) yanı sıra Windows bilgisayarları kolayca istismar etmek için NSA tarafından yazılan/kullanılan araçları paylaştı. Bu paylaşımda en çok dikkat çeken FUZZBUNCH adındaki framework oldu. Bu framework altında kullanılabilen 20’den fazla exploit modülü bulunmakta. Modüller SMB protokolü üzerindeki güvenlik açıklarından yararlanarak hedef sisteme erişim sağlıyor.
“Geliştirilme süreci 2011-2013 yıllarını kapsadığı için, araçlar Windows 10 işletim sistemlerini istismar edemiyor” denilsede Microsoft Security Bulletin’e göre MS17-010 yaması öncesi birkaç saldırıdan Windows 10 sistemlerin etkilendiği belirtilmiş. FUZZBUNCH adındaki bu framework aşağıdaki Windows sistemini destekliyor:
NT, 2000, 2003, 2008 ve 2003’ün sunucu sürümleri ve 2012 yılına kadar XP, Vista, 7 ve Windows 8 sürümleri.
Microsoft, Shadow Brokers’ın bu paylaşımından yaklaşık 1 ay önce MS17-10 koduyla güvenlik yamalarını yayınlamıştı. Her ne kadar yama yayınlandığını belirtse de destek vermeyi bıraktığı işletim sistemleri (örn. Windows XP) için risk halen devam ediyor. Bankacılık sektörü de dahil olmak üzere birçok sektör ve kuruluş da bu işletim sistemlerini kullanıyor.
Yapılan araştırmalarda popüler 25 ülkedeki 56.586 adet sunucuda DOUBLEPULSAR adındaki backdoor tespit edilmiş. Zafiyetten etkilendiği düşünülen IP adresi ise 5.5 milyon!
Ön görümüz ilerleyen günlerde fidye yazılımlarının ciddi oranda artacağı yönünde. En iyi ihtimalle de istismar edilebilen makinaların bir botnet ağına dahil edilmesi. İlgili işletim sistemlerini kullanan kişi yada şirketlerin başı epey ağrıyacak gibi.
Nasıl önlem alabilirsiniz?
Microsoft tarafından desteklenen bir işletim sistemi kullanıyorsanız MS17-010 yamasını acilen yüklemelisiniz. Desteklenmeyen bir işletim sistemi kullanıyorsanız da 445-139 portları üzerinden gelen/giden talepleri kontrol altına almalı/kapatmalı ya da cihazınızın fişini çekmelisiniz.
Referanslar:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://www.bleepingcomputer.com/news/security/over-36-000-computers-infected-with-nsas-doublepulsar-malware/
