Sıfır Gün Açığı Nedir?

Sıfır Gün Açığı Nedir? sorusu “satıcı veya geliştirici tarafından fark edilmeden önce siber korsanlar tarafından keşfedilen yazılım güvenlik açığı” şeklinde yanıtlanabilir.

“Sıfır Gün” terimi, güvenlik açığının yazılım satıcısı tarafından tam olarak sıfır gündür biliniyor olması ve bir düzeltme eki veya güncelleme üzerinde çalışılması için “0” günün olduğu gerçeğine atıfta bulunur. Çünkü geliştiriciler sorunu çözme şansı bulamadan, saldırganların kusurdan yararlanması söz konusudur. Hatta çoğu zaman geliştiriciler saldırı gerçekleşene kadar zayıf noktanın farkında değildir.

“Sıfır Gün” ile ilgili sık kullanılan üç terimi açıklamak bu saldırıların yaşam döngüsünü kavramanıza yardımcı olacaktır.

Zero Day Vulnerability
Sıfır Gün Güvenlik Açığı

Sıfır gün güvenlik açığı, bir programlama hatasından veya yanlış yapılandırmadan kaynaklanan ve henüz düzeltme eki bulunmayan yazılım veya donanım kusurudur.

Zero Day Exploit
Sıfır Gün İstismarı

Sıfır gün istismarı, siber korsanlarının önceden tanımlanamayan bir güvenlik açığına sahip sistemlere saldırmak için kullandıkları teknik veya taktiktir.

Zero Day Attack
Sıfır Gün Saldırısı

Siber korsanların sıfır gün açığını kullanarak gerçekleştirdiği saldırıya sıfır gün saldırısı denir.

Güvenlik açıkları olası bir saldırıya giden yolu temsil eder ve saldırıyı gerçekleştirmek için önemli bir araçtır. Tespit edilmeleri zordur ve günler, aylar hatta bazen yıllar boyunca fark edilmeyebilirler. Siber korsanlar bu yolu kullanarak kullanıcı kimliklerini ve şifreleri ele geçirebilir, sisteme kötü amaçlı yazılım enjekte edebilir, hassas verileri görüntüleyebilir ve sızdırabilir.

Sıfır Gün Saldırıları Hangi Güvenlik Açıklarından Yararlanır?

Sıfır Gün Açığı Nedir?, Sıfır Gün Saldırıları Hangi Güvenlik Açıklarından Yararlanır?
Fark edildiklerinde hazır yamalar mevcut olmadığından sıfır gün güvenlik açıkları, siber korsanlara ihtiyaç duydukları süreyi tanımaları ile ünlüdür.

Sıfır gün güvenlik açıkları, eksik veri şifreleme, eksik yetkilendirmeler, bozuk algoritmalar, hatalar, parola güvenliği ile ilgili sorunlar gibi çeşitli biçimlerde olabileceğinden, tespit edilmeleri kolay değildir.

Sıfırıncı gün istismarları için en popüler saldırı vektörleri, web tarayıcıları gibi yaygın olarak kullanılan programlar, Word, Excel veya PDF dosyaları gibi popüler dosya türleri ve bunları işleyen programlardır. Tüm zamanını sıfır gün istismarı yaratmak için harcamaya gönüllü olan korsanlar, neredeyse herkesin kullandığı programları, yazılımları hedeflemeyi makul bulmaktadır.

Saldırganlar aşağıdakiler de dahil olmak üzere çeşitli sistemlerdeki güvenlik açıklarından yararlanabilir:

  • İşletim sistemleri
  • internet tarayıcıları
  • Ofis uygulamaları
  • Açık kaynaklı bileşenler
  • Donanım ve bellenim (firmware)
  • Nesnelerin İnterneti (IoT)

Sıfır Gün Saldırılarının Potansiyel Kurbanları

Ulusal güvenlikle ilgili bilgilere veya değerli ticari sırlara erişimi olan kuruluşların potansiyel kurban listesinin başında yer aldığını tahmin edebilirsiniz. İhlal edilen bilgi ne kadar hassas olursa, sıfır gün saldırısı o kadar fazla hasar verecektir. Hastalar için hassas tıbbi verileri ve finansal bilgileri barındıran sağlık sistemleri de bu tür saldırılar açısından cazip hedefler arasındadır.

Kritik iş verilerine erişimi olan kişiler, büyük işletmeler ve kuruluşlar, devlet kurumları ve siyasi hedefler Zero Day saldırılarının potansiyel kurbanları arasında sayılabilir.

Hedefli sıfırıncı gün saldırıları, büyük kurumlara veya yüksek profilli kişilere yöneltilirken hedeflenmemiş sıfırıncı gün saldırıları genellikle işletim sistemi veya tarayıcı gibi savunmasız sistemlerin kullanıcılarına karşı yapılır ve mümkün olduğu kadar çok kullanıcıyı yakalamayı amaçlar.

Tarayıcı veya işletim sistemlerindeki güvenlik açıkları korsanların, büyük bot ağları oluşturmaları için uygun zemini sunmaktadır.

Sonuç olarak sıfır gün istismarlarının siber suçluların hedeflerine ulaşmalarında ne kadar etkili olduklarına dair çok sayıda istatistiğe rastlamak mümkündür. Aşağıdaki örnekler bölümünde de görebileceğiniz gibi bu saldırıların odağında genellikle ulusal ya da politik bir hedef (Stuxnet), değerli verilere sahip bir şirket (RSA) ya da son derece geniş bir kullanıcı tabanına sahip bir yazılım (Zoom) yer almaktadır.

Sıfır Gün Saldırıları Neden Tehlikeli?

Sıfır Gün Saldırıları Neden Tehlikeli?
Sıfır gün güvenlik açıkları konusunda, kuruluşların tehdit yönetimi için geleneksel yöntemlere güvenmeleri, istismarcıların önemli bir avantaja sahip olduğu anlamına gelir.

Zero Day saldırılarının siber güvenlik uzmanlarının kabusu olmasının nedeni güvenlik açığının, istismar edilene kadar bilinmemesidir, açığın farkında olunsa da yazılım üreticisi yamayı yayınlama fırsatı bulamadan saldırılar başlayabilir.

Genellikle virüsten koruma veya kötü amaçlı yazılımdan koruma programları, rutin internet etkinlikleri sırasında karşılaşılan kötü amaçlı yazılımları yakalar. Ancak sıfırıncı gün açıklarında, birçok geleneksel siber güvenlik stratejisi koruma sağlayamaz. Bu açıklarda web sitelerini görüntülerken veya üçüncü taraf programları indirirken cihazınıza virüs bulaşma olasılığı çok daha yüksektir. Sıfır gün güvenlik açıkları konusunda, kuruluşların tehdit yönetimi için geleneksel yöntemlere güvenmeleri, istismarcıların önemli bir avantaja sahip olduğu anlamına gelir.

Daha önce hiç kimse güvenlik açığından haberdar olmadığı için, istismarla mücadelede minimum düzeyde savunma söz konusudur ve bu da sıfır günlük bir saldırının başarılı olma olasılığını artırır.

Sıfır gün saldırıları şirketler için son derece tehlikelidir çünkü güvenlik açığı geniş çapta duyurulmamışsa, potansiyel kurbanlar güvenlik açığı bulunan sisteme dair şüpheli etkinlik sinyallerini kaçırabilir.

Yazılım şirketlerinin güvenlik açığı hakkındaki bilgileri zaman zaman gizli tutmaya çalışmaları da saldırganlar açısından önemli bir avantajdır. Bir diğeri saldırganların sır sonsuza kadar sır olarak kalmayacağı için sıfır gün açıklarını yalnızca yüksek, değerli hedeflere karşı kullanabileceği gerçeğidir.

Yamalar, genellikle sıfırıncı gün açıklarının neden olduğu kusurları düzeltir, ancak ne yazık ki anında oluşturulamazlar. Bu da saldırganların sınırsızca hareket etmeleri ve savunmasız hedeflere sıfır gün saldırıları gerçekleştirmeleri için ihtiyaç duydukları zamana sahip oldukları anlamına gelir.

Sıfır gün saldırılarına yönelik çözümün uygulamada olmasa da teoride basit olduğu söylenebilir: Yamalar. Yazılım yamaları istismar edilen güvenlik açığını kapatan kod parçalarıdır. Ancak gerçekte yalnızca güvenlik açığının varlığından haberdarsanız yama çalıştırabilirsiniz. Üstelik düzeltmelerin, güncellemelerin yayınlanması günler, haftalar hatta aylar alabilir.

Bir güvenlik açığı belirlendikten sonra, yazılım satıcısı tarafından yama oluşturmak ve herhangi bir bilgi ihlalini paydaşlara iletmek aciliyet ve sorumluluk içeren önemli görevlerdir, ancak çoğu güvenlik açığının düzeltilmesi haftalar sürmekte ve bu da siber korsanlara bolca zaman tanımaktadır.

Saldırıdan haberdar olur olmaz kullanıcıların yamaları çalıştırması da önemlidir ama IoT cihazları da işin içinde olduğundan çok sayıda cihaza yama uygulanmasını sağlamak kolay olmayacaktır. Kaldı ki güncellemeler yayınlandığında bile çoğu insan bunları indirme ve yükleme konusunda ihmalkar davranabilmekte ya da ertelemektedir.

Sıfır gün açığı teorik olarak sabitlenebilse de uzun vadede saldırganlar için hala elverişli olabilir.

İdeal olarak, güvenlik açıklarını keşfedenler, mümkün olan en kısa sürede yamaların geliştirilmesi için yazılım satıcılarını haberdar etmelidir. Bazı yazılım şirketleri, ürünlerindeki güvenlik açıklarıyla ilgili bilgilendirmeler için ödeme de yapmaktadır. Ancak suç ekosisteminde sıfır günlük güvenlik açıklarının kaşifler tarafından yüksek ücretlere satıldığı da bilinmektedir.

Sıfırıncı gün istismarları, bir işletmeyi çeşitli şekillerde olumsuz etkileyebilir. Değerli veya gizli verileri kaybetmenin yanı sıra, müşterilerin işletmeye olan güvenin sarsılabilir.

Çoğu insan, sıfır gün istismarlarının, siber korsanlar tarafından kullanıldığını düşünse de dünyanın dört bir yanındaki devlet kurumları, çoğunlukla gözetim amacıyla veya kendi siber saldırılarında kullanılmak üzere sıfır gün açıklarının peşindedir.

Hem Çin hem de ABD istihbaratının casusluk veya siber sabotaj amacıyla kullanabilecekleri sıfır gün güvenlik açıkları hakkında bilgi topladığı bilinmektedir. Hatta sıfırıncı gün güvenlik açıklarını ve bunlardan yararlanmanın yollarını ilk öğrenen olmak için, saldırganlar ve devlet destekli grupların, şiddetli rekabetinin sonucunda gelişen bir karaborsanın ortaya çıktığı söylenebilir.

Sıfır Gün Saldırıları Nasıl Çalışır?

Sıfır Gün Saldırıları Nasıl Çalışır?
Sıfır gün istismarlarını başlatan; yazılım geliştiricisi tarafından farkında olmadan oluşturulan güvenlik açığının bir bilgisayar korsanı tarafından bulunmasıdır.

Kimlik avı e-posta saldırıları gibi siber saldırı türleri, bir e-postadan dosya indirmek ya da bir bağlantıya tıklamak için kullanıcı etkileşimi gerektirir. Buna karşılık sıfır gün saldırısı, hedef cihaza doğrudan bulaşmak için işletim sistemini veya bir yazılım kusurunu potansiyel olarak kötüye kullanır, bu da başarı şansını artırır.

Sıfır gün saldırıları onları bilen tek kişi saldırganların kendisi olduğundan tehlikelidir. Bir ağa sızdıktan sonra, suçlular ya hemen saldırabilir ya da bunu yapmak için stratejik olarak en iyi zamanı bekleyebilir.

Sıfır gün istismarlarını başlatan; yazılım geliştiricisi tarafından farkında olmadan oluşturulan güvenlik açığının bir bilgisayar korsanı tarafından bulunmasıdır. Bu güvenlik açığını hedeflemek için kod yazılması ve kodun kötü amaçlı yazılım olarak paketlenmesi bir sonraki adımdır.

İstismar kodu, yazılım kullanıcılarının, kimlik hırsızlığı veya diğer siber suç türleri yoluyla mağdur olmasına neden olabilir. Çünkü saldırganlar sıfır gün güvenlik açığını keşfettikten sonra, güvenlik açığı bulunan sisteme ulaşmak için bir araca ihtiyaç duyarlar. Bunu genellikle sosyal mühendislik kullanarak tasarlanmış bir e-posta yoluyla yaparlar.

Korku veya aciliyet hissi uyandıran mesaj, kullanıcıyı bir dosyanın açılması veya kötü amaçlı bir web sitesini ziyaret edilmesi gibi eylemler için psikolojik manipülasyon yoluyla ikna etmeye çalışır. Sosyal Mühendislik Saldırısı Nedir? adlı yazımızdan insanların sosyal mühendislik suçlarına yenik düşme nedenlerini öğrenebilirsiniz. 

Saldırıyla birlikte güvenlik açığı, genellikle satıcı veya güvenlik araştırmacıları tarafından ifşa edilir ve kullanıcılar uyarılır. Daha sonra antivirüs yayınlansa da güvenlik açığından yararlanmanın alternatif yollarının olabileceği ihtimali unutulmamalıdır.

Satıcının, güvenlik açığını kapatmak için yayınlayacağı yamanın hazırlanması için geçen süre durumun karmaşıklığına bağlı olarak değişebilir. Yama, hazır olduğunda kullanıcı tabanına dağıtılsa da kullanıcıların güncellemeyi ne kadar hızlı uyguladığı önemlidir ve sistemlerin her adımda hala savunmasız olabileceğini akılda tutulmalıdır.

Sıfır Gün Güvenlik Açığı Nasıl Tespit Edilir?

Sıfır Gün Güvenlik Açığı Nasıl Tespit Edilir?
Sıfır gün tehditlerini tespit etmek için kullanılan yöntemlerin hiçbiri çok kapsamlı değildir bu nedenle genellikle birlikte kullanılırlar.

Genellikle sıfır gün saldırılarında kullanılan güvenlik açıkları çeşitli aralıklarla bir programa büyük miktarda veri girerek keşfedilmeye çalışılır. Aşırı yüklemenin, çökmelere veya garip davranışlara neden olup olmadığına, hataların açığa çıkıp çıkmadığına ve programın nasıl yanıt verdiğine bakılır.

Sıfır gün açığı saldırısına uğrayan kuruluşlar, bir istemci veya hizmetten kaynaklanan beklenmeyen trafik veya şüpheli tarama etkinliğine maruz kalabilir.

Sıfır gün tehditlerini tespit etmek için kullanılan yöntemlerin hiçbiri kusursuz değildir, çok kapsamlı oldukları da söylenemez bu nedenle genellikle birlikte kullanılırlar. Sıfır gün güvenlik açığının varlığına dair ipucu verebilen, algılanmasını kolaylaştıran çeşitli stratejileri şu şekilde listeleyebiliriz:

  • İstatistik tabanlı algılama: Makine öğrenimi kullanılarak, önceki istismarlardan geçmiş veriler toplanır ve sıfır gün tehditlerini gerçek zamanlı olarak tespit etmek amacıyla güvenli davranış için standart bir seviye ayarlanır.

  • İmza tabanlı algılama: Bu yöntem, güvenlik izlemede ilk günlerden beri kullanılmaktadır. Kötü amaçlı kodun varlığını gösteren mevcut kötü amaçlı yazılım imzaları, veritabanları, yeni potansiyel tehditler taranırken yerel dosyalara ve indirmelere çapraz referans verilir. Bu yöntemin bir dezavantajı, imzaların yalnızca zaten bilinen tehditleri tanımlayabilmesidir, bu nedenle bu yöntem sıfırıncı gün tehditlerinin çoğunu algılayamaz.

  • Davranışa dayalı algılama: Kullanıcıların mevcut yazılımlarla etkileşimleri analiz edilir. Davranış temelli algılama, gelecekteki davranışları öğrenmek için yola çıkar ve beklenmeyen herhangi bir davranışı engellemeye çalışır. Ağ trafiğinin akışını tahmin etmeye dayanır.

Sıfır Gün Saldırıları Nasıl Önlenir?

Sıfır gün saldırısı sırasında, olayın etkisini ve maliyetini en aza indirmek için hızlı ve koordineli davranmak çok önemlidir.

Varlığından bile haberdar olmadığımızdan, doğaları gereği, sıfır gün istismarlarından %100 korunmak imkansızdır. Ancak sıfır gün saldırısı riskini en aza indirmek için izlenebilecek bazı uygulamalar söz konusudur. Bunlar arasında en önemlileri, tarayıcı izolasyonu ve güvenlik duvarlarıdır.

E-posta eki açma veya form doldurma gibi etkinliklerle güvenilmeyen kaynaklardan gelen kodlar saldırganların güvenlik açıklarından yararlanmasına olanak tanıdığından tarayıcı yalıtımı önemlidir. Tarayıcı izolasyonu tarama etkinliğini kullanıcı cihazlarından ve şirket ağlarından ayrı tutar, böylece potansiyel olarak kötü amaçlı kod kullanıcının cihazında çalışmaz.

Güvenlik duvarı, bilindiği gibi önceden ayarlanmış güvenlik ilkelerine dayalı olarak gelen ve giden trafiği izleyen bir güvenlik sistemidir. Güvenlik duvarları, tehditlere karşı koruma sağlamak, kötü amaçlı içeriğin güvenilir bir ağa ulaşmasını engellemek ve hassas bilgilerin ağdan çıkmasını önlemek için kullanılır. Donanıma, yazılıma veya her ikisinden oluşan bir kombinasyona yerleştirilebilirler. Bir güvenlik duvarı, trafiği izleyerek, güvenlik açığını hedefleyebilecek trafiği engelleyebilir. Yalnızca gerekli işlemlere izin verecek şekilde yapılandırılarak maksimum koruma sağlayabilir.

Zero Day saldırılarını önlemede düzenli sızma testi yapılması ve şirketlerin kendilerini güvenlik açıklarına karşı uyaranları ödüllendirdiği stratejiler kullanması önerilir. Örneğin Google sıfır gün açıklarını bulmakla görevli güvenlik analistlerinden oluşan bir ekibe ve güvenlik açıklarını tespit eden araştırmacıları ödüllendirmeye odaklanan bir projeye sahiptir.

AI odaklı siber tehdit istihbarat veritabanlarının kullanıldığı Threat Intelligence yaklaşımlarıyla desteklenen tehdit algılama araçları sürekli olarak potansiyel tehditlerin incelemesi ve bu bilgilerin araçlara aktarılmasıyla sıfır gün saldırılarının erken tespit edilmesini sağlayabilir. Geçmiş ve mevcut etkileşimlerin verilerine dayalı olarak güvenli sistem davranışı için bir temel oluşturmak amacıyla makine öğrenimi giderek daha fazla kullanılmaktadır.

Ayrıca sıfır gün tehditlerini belirlemek ve önlemek amacıyla tehdit istihbaratı (Threat Intelligence), davranış analizi ve kod analizini birleştiren yeni nesil antivirüs (NGAV), anormal davranış izleme teknikleri, izinsiz giriş algılama ve önleme (IDS ve IPS) sistemlerinden de yararlanılmaktadır. Kötü amaçlı yazılım çeşitleri önemli ölçüde farklılık gösterse de amaçlarına ulaşmak için genellikle benzer teknikleri kullanırlar.

Ek olarak yetkisiz cihazların ağa bağlanmasını önlemek sıfır gün tehdidinin potansiyel etkisini en aza indirmeye yardımcı olabilir. Güvenlik açıklarına sahip yazılımlar herhangi bir şirketin ortamında olabileceğinden, uç nokta güvenliğine sahip olmak önemlidir.

İnsanların, sıfır gün istismarlarını mümkün kılan zayıf halka olabilme ihtimali nedeniyle kuruluşlar tarafından siber güvenlik bilinci için çalışanları eğitmek mutlak zorunluluktur. Her çalışan, e-posta iletişiminde nelere dikkat etmesi gerektiğini, şüpheli bağlantıları ve ekler konusunda ne yapılacağını bilmelidir. Bu tür eğitimler, saldırganların ilk dayanağı elde etmesini önlemenin etkili bir yolu olabilir.

Sıfır gün saldırısı sırasında, olayın etkisini ve maliyetini en aza indirmek için hızlı ve koordineli davranmak çok önemlidir. Bir olay müdahale planı sıfır gün saldırısını engellemese de ne yapılması gerektiğini açıklayarak durumu düzeltmeyi hızlandırabilir. Saldırıyı tahmin edemeyebilirsiniz, ancak bir saldırının panik evresinde yapılması gerekenlere hazırlıklı olmak oyunu bozabilir. Kapsamlı olağanüstü durum kurtarma ve yedekleme planlarına sahip olmak da bu açıdan kritiktir.

Yamalar tehdit belirlendiğinde en kısa sürede yüklenmeli, tüm yazılımlar ve işletim sistemleri güncel tutulmalıdır. Yeni sürümler yeni tanımlanan güvenlik açıklarını kapsayacak güvenlik yamaları içerdiğinden önemlidir.

Yalnızca gerekli uygulamaları kullanmak da dikkate alınabilecek uyarılar arasındadır. Çok sayıda yazılım çok fazla potansiyel güvenlik açığı anlamına gelir.

Sıfır Gün Güvenlik Açığı Örnekleri

  • Sıfır gün saldırısının en ünlü örneklerinden biri olan Stuxnet, 2010 yılında İran’ın uranyum zenginleştirme tesislerinde kullanılan cihazlarda beklenmedik komutların yürütülmesine neden oldu ve nükleer malzemeyi işlemek için kullanılan santrifüjleri bozdu. Siemens Step7 yazılımından yararlanıldı ve program Windows üzerinde çalıştı. Kökleri 2005’e kadar uzanan solucan, programlanabilir mantık denetleyicisi (PLC) yazılımı çalıştıran üretim bilgisayarlarını etkiledi. Nihai hedef, ülkenin nükleer programına zarar vermekti. Stuxnet saldırısı daha sonra Zero Days adlı bir belgeselde de anlatılmıştır.

  • Zero Day güvenlik açığının en ünlü örneklerinden biri olan EternalBlue, Nisan 2017’de, Shadow Brokers adlı bir korsan grubunun Microsoft Sunucu İleti Bloğu protokolündeki (CVE-2017-0144) güvenlik açığını istismar etmesiyle gerçekleşti. Bu güvenlik açığı, saldırganın paketler göndererek güvenliği ihlal edilmiş sistemde, uzaktan kod yürütmesine olanak tanımıştır. Bu sızıntılar 2017 yılının Mayıs ayından Ağustos ayına kadar WannaCry, Petya, NotPetya gibi kötü amaçlı yazılımları içeren devasa fidye yazılımı saldırıları olarak karşımıza çıktı. İlginç olan EternalBlue açığının Microsoft tarafından sızıntıdan bir ay önce düzeltilmiş olmasına rağmen, yine de tüm zamanların en çok yayılan kötü amaçlı yazılım saldırılarının önemli bir parçası olmasıydı.

  • 2011’de, Adobe Flash Player’daki bir güvenlik açığı nedeniyle güvenlik şirketi RSA‘nın ağına sızan korsanlar, kötü amaçlı Flash dosyalar içeren güvenliği ihlal edilmiş Excel dosyalarını kullandı. Ağa erişim sağlayan saldırganlar daha sonra şirketin iki faktörlü kimlik doğrulama ürünleriyle ilgili hassas verileri çaldı.

  • Pandemi nedeniyle 2020 yılında popülerliğinin zirvesine çıkan Zoom, aynı yıl Windows’un daha eski bir sürümü çalıştırıldığında ortaya çıkan bir güvenlik açığı ile de anıldı. Kullanıcının bilgisayarına uzaktan erişilmesine izin veren bu güvenlik açığında siber korsanların tüm dosyalara erişmesi ve cihazı tamamen ele geçirmesi mümkündü.

  • Mart 2021’de Microsoft Exchange Server‘daki bir güvenlik açığı, Çinli bir korsan grubu olan Hafnium’a bağlı bir dizi saldırıya neden oldu.

  • 2021 yılı içinde, bugüne kadar arama devi Google Chrome‘un altı kez, sıfır gün açığı saldırılarına maruz kaldığı biliniyor.
  • Apple’ın iOS‘u da 2020’de, iki kez sıfırıncı gün güvenlik açığının kurbanı oldu.
  • 2019’da Microsoft Windows‘taki bir güvenlik açığı Doğu Avrupa’daki devlet kurumlarını hedef almaya odaklandı. Sıfır gün açığı, Microsoft Windows’ta rastgele kod çalıştırmak, uygulamaları yüklemek, güvenliği ihlal edilmiş uygulamalardaki verileri görüntülemek ve değiştirmek için kullanıldı.
  • 2017 yılında “uzak içeriği yükle” mesajını gösteren bir Microsoft Word belgesi kullanılarak bir başka sıfır gün istismarı gerçekleşti. Harici erişim isteyen açılır pencere sayesinde kurbanlar “evet”i tıkladığında bu belge, kullanıcıların cihazlarına banka kimlik bilgilerini yakalayabilen kötü amaçlı bir yazılım yüklüyordu.
  • 11 Ağustos 2020’de Microsoft, Secura araştırmacıları tarafından keşfedilen NETLOGON protokolünde (CVE-2020-1472) kritik bir güvenlik açığı için bir düzeltme eki içeren bir güvenlik güncellemesi yayınladı. Bu güvenlik açığı, alan adı denetleyicisine ağ erişimi olan kimliği doğrulanmamış bir saldırganın, Netlogon oturumu oluşturmasına olanak tanıyordu. Yamanın yayınlanmasından iki ay sonra ve Secura araştırmacılarının güvenlik açığının teknik ayrıntılarını yayınlamasından sadece bir ay sonra, Ryuk fidye yazılımı operasyonu, yama uygulanmamış sistemleri toplu olarak hedef alan büyük bir saldırıya imza attı.

Ek olarak Kaseya Saldırısı, SonicWall VPN Güvenlik Açığı, MSRPC Printer Spooler Relay  (CVE-2021-1678) ve NTLM güvenlik açığı gibi çok sayıda Zero Day saldırısı koruma mekanizmalarını atlayabilmiştir.

Özet

Sıfır gün güvenlik açıkları, yazılım, bellenim veya donanımda bulunan ve yazılım geliştiricisi tarafından bilinmeyen zayıflıklar olarak tanımlanabilir. Fark edildikleri anda hazır yamalar mevcut değildir.

Sıfır gün saldırılarına karşı bilgisayarınızı ve verilerinizi güvende tutmak için en güncel siber güvenlik risklerini takip etmeniz çok önemlidir. Tek bir yaklaşım, güvenlik açıklarını tamamen engelleyemese de çeşitli taktikler ve araçlar riskleri azaltabilir.

Bu tip saldırılara karşı hazırlıklı olmak isteyenlerin Sıfır Gün Açığı Nedir? sorusunun yanıtlarından yola çıkarak siber güvenlik önlemleri konusunda araştırmalar yapmaları önerilir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir