| Microsoft kritik bazı güvenlik açıkları için yamalar çıkardı. Windows, Office (windows ve Mac) ve Internet Explorer kullanıcılarının yamaları acilen kurması gerekiyor. |
| Açıkların sonucunda uzaktan sistemde istenilen kodun çalıştırılabilmesi ve sistemi çökertmek mümkün olabiliyor.
Çözüm: |
| Microsoft dün 9 farklı güvenlik açığı için 6 adet güvenlik bülteni yayınladı. |
| Açıkların 7’si firma tarafından kritik olarak değerlendirilirken diğer ikisi önemli olarak nitelendirildi.
Symantec‘e göre en tehlikelisi Workstation servisindeki güvenlik açığı. Açıktan yararlanarak uzaktan kod çalıştırmak ve sistemin tüm kontrolünü ele geçirmek mümkün olabiliyor. Yamalar ve güvenlik açıkları ile ilgili detaylı bilgi için: • MS06-066 - Windows‘daki bir açık için Windows güncelleme sitesinden sisteminizi güncelleyebilirsiniz: Kaynak: Computerworld |
| Yazıcı-uyumlu sayfa | Bu makaleyi arkadaşına gönder |
| Konu ile alakalı olabilecek diğer dokümanlardan bazıları: |
Yayınlanma tarihi: |
|---|---|
| [MS] Internet Explorer için toplu yama | 01.04.2002 00:00 |
| Microsoft Outlook güvenlik açıkları | 25.03.2002 04:30 |
| Windows 2000 güvenliği | 25.03.2002 17:00 |
| Windows İşletim sistemlerinde sistem dosyalarının ve yazılımların güncelliğini sağlamak | 25.03.2002 13:20 |
| Windows 2000`de IP güvenliği (adım adım IPSec) | 10.03.2002 10:15 |
| PGP ile Güvenlik | 08.03.2002 16:00 |
| MS IIS Chunked Encoding güvenlik açığı | 12.06.2002 09:00 |
| MS RAS Adres defterindeki kontrol edilmeyen tampon bellek kod çalıştırılmasına izin veriyor | 12.06.2002 14:00 |
| MS SQLXML kontrol edilmeyen tampon bellek kod çalıştırılmasına izin veriyor | 14.06.2002 03:25 |
| İlk JPEG Virüsü Bulundu |
| Problem Windows Server ailesi işletim sistemlerinin Active Directory üyesi Windows XP SP2 işletim sistemi kullanan user/computer nesnelerine uyguladığı Group Policy Object(GPO) lar’ın Command Prompt uygulamasını deaktif edereken kullandığı registry değerinin yanlış denetlenmesinden kaynaklanıyor. |
| Bu açıktan “cmd.exe” uygulamasını restricted user’lar için korumalı olan \system32 dizininden alıp gerekli değişiklikler yapıldıktan sonra restricted user’ın kendi okuma/yazma hakkı olan bir dizine kaydetmesi ile başarılı bir şekilde yararlanılabiliyor. Açık ek olarak “Command Prompt” üzerinde uygulanan tüm Software Restricted ilkeleri (hashing, dosya adına göre kısıtlama ve registry kontrollü kısıtlama) ni geçersiz kılar.
Açık tüm güncelleştirilmeleri yapılmış Windows Server ailesi ve Windows XP kullanan clientları etkiliyor. Açığı kullanan bir PoC videosu http://www.snakeforce.com/gpo.wmv adresinden indirilebilir |
| Henüz yaması çıkmamış olan Microsoft DNS güvenlik açığı için yayınlanan exploit kodu yaygın olarak kullanılabilir. |
| Symantec’in duyurusuna göre hafta sonu Windows DNS açığı için 4 exploit yayınlandı.
Güvenlik açığı Windows 2000 ve Windows 2003 sunucu sistemlerini etkiliyor. Microsoft geçtiğimiz hafta bu açıktan yararlanan bir saldırıdan haberdar olduklarını belirtmişti fakat henüz bir exploit kodu yayınlanmamıştı. Microsoft problemi gidermek için halen çalışıyor. Kullanıcıların yama çıkana kadar geçici çözüm önerilerini uygulaması öneriliyor. McAfee pazartesi günü öğleden sonra DNS güvenlik açığından yararlanan bir Nirbot varyantı tespit ettiklerini duyurdu. Nirbot saldırgana etkilenen bilgisayarın tüm kontrolünü IRC kanalı vasıtası ile veriyor. DNS açığı Windows XP veya Windows Vista sistemleri etkilemiyor. Kaynak: http://news.com.com/Attack+code+raises+Windows+DNS+zero-day+risk/2100-1002_3-6176429.html |
Bu metinde genelinde win2000’nın ilk kurulumundan sonra sisteminizi daha güvenli hale getirmek için yapabileceğiniz işlemlerden bahsedeceğim. Öncelikle herhangi bir işletim sistemi üstünde güvenlikle ilgili çalışmalara başlamadan bilgisayarınıza yapmanız gereken ufak düzenlemelerden bahsedip, ardından win2000 sisteminizi daha güvenli hale getirmek için gerekli olan işlemleri anlatıcağım. Bunlar arasında gereksiz servislerin kapatılması, “system policy”nin ayarlanması, TCP/IP bağlantılarını filitrelendirmesi, hotfix ve SP’lerin önemi, korunması gerekli önemli dosyalar ve bunlara ek olabilecek ufak tefek bir kaç konu daha var. Başlıklar halinde sıralamak gerekirse:
Bilgisayarına kurlu olan herhangi bir işletim sistemin güvende olmasını ve dosyalarının kendisi ve izin verdiği kişiler dışınızdaki birileri tarafından değiştirilmemesi veya silinmemesini istemek her kulanıcının hakkıdır. Ama bunu gerçekleştrimek için bilgisayarı işletim sistemini aktif hale geçirmeden önce ve işletim sistemine giriş yaparken yapması gereken bazı işlemler var.
Bilgisayarınız açılırken eğer sizin dışınızda birileri BIOS’unuza kolayca girebiliyorsa ve burada yaptığı değişiklikleri aktif hale getirebiliyorsa bazı sorunlarla karşılaşma olasılığınız artıyor. Her ne kadar yeni bilgisayarların çoğunda BIOS’a nasıl girileceği başlangıçta gözükmese de bilen bir insan rahatlıkla BIOS içinde yapıcağı değişikliklerle ister bilgilerinizi çalma (öğrencilerin notlerını çalınması), ister biligilerinizi yok etme (tezinizin veya projenizin bulunduğu sabit diskin silnmesi) başarılı olabilir. Bu tür bir riski engellemek için BIOS’a girip sadece sizin aklınızda kalıcak biraz karmaşık bir şifre koyun (bu işlemi adım adım anlatamıyorum çünkü bir çok çeşit BIOS ekranı var ama hepsinde bir “password” seçeneği var.). Ama şifrenizi “sevdiğiniz bir arkadaşınızın adı, doğum tarihiniz, kedinizin adı, vb” gibi kolay tahmin edilicek kelimeler arasından atamayın. Biraz harf ve sayılar birlikte olsun.
İkinci adım olarak win2000 şifrenizden bahsetmek gerek. Yukarda anlattığım mantık çerçevesinde bilgisayarınız işletim sistemini çalışır hale getirdikten sonraki kısımla ilgili bir kaç uyarı daha yapıcağım. Win2000’ninizin şifresi de kolay bulunur (veya tahmin edilir) bir kelime veya kelime grubuysa biligilerinize sizin ve izin verdiğiniz kişiler dışında birilerinin ulaşması ve zarar vermesi kolaylaşıcaktı. Bunun için de yine biraz karmaşık bir şifre şeçmenizi öneririz.
Burada ufak bir note yazmak ihtiyacı duydum bu şifrelerin şifre olarak kalablimesi için de tanıdıklarınıza veya ofisteki diğre arkadaşlarınıza çok gerekmedikçe söylenmemesi gerekiyor.
Sisteminizi güvenli hale getirmenin en önemli adımı belki de gerekli servislerle, gereksiz servisleri bilmek ve gereksiz olanları kapatmak veya silmektir. TCP/IP’nini basitçe çalışması için verilicek servisler çok da karmaşık değildir. Asteriksli (*) olanlar gerekli olan minimum servisleri göstermektedir. (bu noktadan sonra İngilizce terimleri kulanıyorum ki bilgisayar ekranında burada yazılı Türkçe terimle karşınıza gelicek İngilizcesi terimi karıştırmamanız için)
 |
Servisleri iyi güzel söyledik de bunları nasıl kapatıcağımızı da anlatmamız gerekli. Servislere gidiş yolu; Start | Setting | Control Panel | Administartive Tolls | Services. Bundan sonra istenilen servisin üstüne gelip çift tıklandığında o servisin özelliklerini gösteren bir pencere açılacak (örnek: Resim 1). Servisi bundan sonraki açılışlara aktif hale gelmesini istemiyorsanız “Start type” alanından “disable” seçeneğini seçin ama unutmayın ki bu servis hala açık olan makinenizde kulanılmaktadır. Bunu durdurmak içinde yine aynı pencerede gözüken “Stop” düğmesine basarsanız artık o servis çalışır durumdaki win2000’inizde de çalışmıyordur.
Tavsiyemiz win2000’nızı kurdunuz ve servislerin bir kısmnı kapatını, sonra yapılacak en öneli iş “windos update” sitesine bağlanıp, gerekli kritik güncelemeleri yapmanız ve SP’leri de bilgisayarınıza yüklemeniz. Burada dikkat edilecek bir notka var; kulanmadığınız servislerle ilgili yamaları uygulamanın bir anlamı yok. Taii bını anlamak için kulnabileceğiniz bazı araçlar var. Hangi hotfixlerin eksik olduğunu anlamak için “Hfnetcheck.exe” doysasını microsoft’un sitesinden biligisayarınıza çekip kontrol edebilirsiniz. İlgi çekici bir örenk olduğ u için burada belirtme ihtiyacı duydum; Nimda virüsü yayılırken yaması yapılmamış IIS’ler (microsoft tarafından dizayn edilmiş bir web sunucusu) biligisayarlara ve ağ iletişimine zarar verdi.
Biraz da “system policy”den bahsediyim (veya bahsetmiş olan amcalardan derleme yapıyım). Bunun için izlenicek yol; Start | Setting | Control Panel | Administrative Tolls | Local Security Setting. Açılan pencerede bir miktar oynama yapacağınız “Account Policies, Local Policies” var.
Burada yazan değerlerin hepsini yerine getirdiğinizde sizin bulunduğunuz şartlara uymayan bir durum ortaya çıkabilir. Bunu önlemek için önce kendi şartlarınızı gözden geçirin. Ondan sonra bu işlemleri yapın.
Enforce Password History Enabled (önerilen değer 5)
Maximum Password Age Enabled (önerilen değer 60)
Minimum Password Age Enabled (önerilen değer 5)
Password Must Meet Copmlexity Requirment Enabled
Store Password Using Reverse Encription Disabled
Account Lockout Treshold Enabled (önerilen değer 5)
Account Lockout Duration Enabled (önerilen değer 30)
Reset Account Locout Treshold After Disabled (önerilen “manual reset of account”)
Aşağıdaki değerleri minimal düzeyde tutarmanızı önerilir (unutmayın ki kendi koşullarınıza göre).
Audit Account Logon Events
Audit Account Manegmen
Audit Logon Events
Audit Policy Change
Audit System Events
Klasik kural: administrator her türlü hakka sahiptir, gerisini de “durum” göre belirler. Burada genel bir yapıdan bahsetmek yanlış olucaktır. Yine de “everyone” bulunan seçenekleri bir daha gözden geçirmenizi tavsiye ederiz.
Aşağıdaki liste içinde, “Microsoft Networking” kulanarak dosya alışverişi ve paylaşımı yapıyorsanız, “SBM encryption” ve “Secure Channel” önem kazanıyor. Buiki seçeneğn değerlerini belierlerken dikkatli davranıp kendi koşularınıza uygun olanını seçmelisiniz.
|
Gereksiz altsistemlerin kapatılması diye bir konumuz daha var. OS2 ve Posix yazmaç (registry) değerlerini HKLM\ System\ CurremtControlSet\ Control\ Session\ Maneger\ Subsystem içinden kaldırabilirsiniz. İlgili dosyaları (os2*,posix* dosyaları) buradan silebilirsiniz. Bu sistemler artık genel kulanımda yoklar ama açıkları sayesinde bilgisayarınıza istemediğiniz kişiler tarafından bağlantı kurulabilme olanağı veriyor.
Bazı araçaların herkes tarafından kulanılmasını istemiyorsanız yeni bir admin grubu yaratın (örneğin AdminTools). Hangi kulanıcıların bu araçları kulanabilmelerini istiyorsanız onları bu grubun altına koyun. Bu doysalar üstündeki ACL’leri “LocalSytem” ve “Administrative Group”tan kaldırın ve “AdminTools”a bu dosyaların sahipliğini ve “Read” ve “Execute” hakkını verin. Bu dosyalar arasında ilk aklımıza gelenler;
|
TCP/IP filitrelendirmesi diye bir konudan bahsediceğimizi söylemiştik. Burada Win2000 iki çeşit sunuyor. TCP/IP filitrelendirmesi ve IPSec. TCP/IP filitrelendirmesi tek bir bilgisayarlar için kulanılırken, IPSec ise “Group Policy” olarak atanabilinir.
Bir örnekle anlatmak en uygunu olucaktır. Diyelim ki bilgisayarınız FTP ve Web bır servis veriyor (ki bunları da vermesine genelde gerek yok). “Network and Dial-Up Connection” kulanılarak filitreleme yapabilirsiniz. Start | Settings | Network and Dial-Up Connection | Properties | General | Internet Protocol (TCP/IP) | Properties | Advenced | Options | TCP/IP Filtering | Properties. Biraz uzun gibi gözükse de azim her şeye çare. Aşağıdaki örnekte gözüktüğü üzere TCP bağlantılarını 21 (FTP), 80 (http) ve 443 (https) portlarıyla sınırlamış durumda. Hatta UDP portlarına hiç bir şekilde izin verilmemiş. Bu kısmı kulandığınız programlara verdiğiniz servislere göre ayarlıyabilirsiniz.
 |
| Resim 2 |
Bu seçenek bir grup için kulanlıldığında daha etkilidir. IPSec’in özelliklerinde “enable” işaretledikten sonra yapmanız gerekenler bitmiyecektir. “Local Security Setting” içine girip kendi “policy”inizi girmeniz gerekecek. Üç tane kolunlu bir tabloyu dolduracaksınız. Kolonlarda;
olucaktır. Bu ağ içinde sisteminize gelen ve sisteminizden giden trafiğin filitrelendirmesi sırasında uygulanıcak politikayı(policy), hangilerinin filitlendirileceği listesini (list), ve yapılacak işlemi (action) içermektedir. bu işlemlerden sonra “Local Machine”de “IP Security Policies” i kulnamaya baslıyabilirsiniz. Bunu için üstüne gelip sağ-tıkdan sonra “assign”ı seçin. Bilgisayarınızı tekrar başalamanıza gerek kalmadan hemen uygulamaya girecektir.
Buraya kadar yaptıklarınız arasında önyükleme (boot) esnasında yapıcağımız şifrelemeden, sistem süzgeçleme kadar pek çok şeyden bahsettik fakat bunların bir kısmı sizin bulunduğunuz ortam şartlarına uymayabilir. Daha önce de belittiğimiz gibi öncelikle kendi durumunuzu ortaya tüm hatlarıyla ortaya koyun ki yapıcağınız ayarlar bilgisayarınızı güvenli hale getirirken aynı zamanda da çalışmaz hale getirmesin. Sizlere sadece win2000 kurulumundan sonra yapılacak ilk işlemnleri anlatım ama daah yapılabilicek çok şey olduğunu unutmayım EK1’de alıntı yaptığim ve faydalı bulduğum sayfaların bağlantıları var.
Kolay gelsin.
Burada anlatıklarım aşağıdaki sitelerden çıkrarılmış özet ve derlemelerdir. Daha fazla biligi ve ayrıntı için win2000 güvenlik sitelerini ziyarat etmenizi öneririm.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/w2kprocl.asp
http://www.systemexperts.com/tutors/HardenW2K101.pdf
http://nsa2.www.conxion.com/win2000/download.htm
http://www.yale.edu/its/security/new-index.html?http://www.yale.edu/its/security/Procedures/Securing/NT/w2k/
http://www.labmice.net/articles/securingwin2000.htm
http://arstechnica.com/tweak/win2000/security/begin-1.html
http://www.sans.org/infosecFAQ/win2000/win2000_list.htm
| Microsoft 15 güvenlik açığı ile ilgili 6 güvenlik bülteni yayınladı. Söz konusu açıklar uzaktan sistemde istenilen kodu çalıştırma veya servis kullanımı engelleme saldırıları gerçekleştirilebilmesine izin veriyor. |
| Yayınlanan Bültenler: Kritik: MS07-031 - Windows Schannel güvenlik pakedinde uzaktan kod çalıştırma açığı MS07-033 - Internet Explorer için toplu yama MS07-034 - Outlook Express ve Windows Mail için toplu yama MS07-035 - Win32 API uzaktan kod çalıştırma açığı Önemli: MS07-030 - Microsoft Visio uzaktan kod çalıştırma açığı Düşük: MS07-032 - Windows Vista bilgi sızdırma açığı Çözüm: Kaynak: CERT |
Etkilenenler:
* Microsoft Windows
* Microsoft Internet Explorer
* Microsoft Visio
* Microsoft Windows Mail
* Microsoft Outlook Express
* Microsoft Secure Channel
* Win32 API
| Problem HTTP Basic Authentication diyalog kutularında IDN (uluslararası Alan Adı) implementasyonun beklenmedik davranış göstermesinden kaynaklanıyor. Bu açıktan alan adında uluslararası karakterler kullanarak sunucuyu spoof ederek yararlanmak mümkün oluyor. |
| Açığın tüm güncellemeleri yapılmış Windows XP üzerinde çalışan IE7′yi etkilediği rapor edildi. Diğer sürümler de etkileniyor olabilir.
Çözüm: Kaynak: http://secunia.com/advisories/25663/ |
| Açık, Doğuş Yayın Grubu tarafından geliştirilen ve 27 Ağustos 2007 tarihinde http://www.ntvmsnbc.com/news/418388.asp adresinde “Türkiyenin ilk masaüstü TV yayını başlıyor” lansmanı ile piyasaya sürülen Sipru adlı programın tüm yayın akışının kesilebilmesine, değiştirilebilmesine ve zararlı içerik yerleştirilebilmesine olanak veren Soap protokolünün kötüye kullanılması ile ortaya çıkıyor. |
| Açık Client ve Server arasındaki iletişimin plaintext xml formatı ile gerçekleştirilmesinden kaynaklanıyor. Kötü niyetli kullanıcı trafiği dinleyerek ele geçirdiği admin bilgileri ile programa uygun Soap Client verilerini hazırlayarak saldırıyı gerçekleştirebiliyor.
Açığı keşfettiğim anda destek@sipru.com adresine gerekli bilgilendirmeyi yaptım ancak halen beklediğim feedback i alamadığımı belirtmek isterim. |
| ISS X-Force Apache HTTP sunucusunda bir açık bulduğunu rapor etti. Uzaktaki saldırganların bu açıktan yararlanarak web sunucusunu ele geçirmeleri mümkün. Başarılı olarak exploit edildiğinde web içeriği değiştirme veya servis kullanımı engelleme (DoS) ile sonuçlanabiliyor. |
| Etkilenen Sistemler Apache 1.x Not: Oracle 9ias ve IBM Websphere gibi çoğu ticari uygulama HTTP isteklerini işlemede Apache sunucusunu kullanıyor. Ayrıca içerisinde Apache HTTP sunucusunu bulunduran Windows uygulamalarıda etkileniyor olabilir. Açıklama X-Force bu açığın Apache (Win32) 1.3.24 sürümünde exploit edilebilir olduğunu onayladı. Apache 1.x Unix sürümleri de aynı kaynak kodunu içeriyor fakat exploit edilişinde farklar olabilir. Korunma
4. Kaynak kodunu “patch” komutu ile veya benzer bir araç ile güncelleyin. Apache Server Project durumdan haberdar ve kısa süre sonra bir yama çıkaracak. Ayrıntılı bilgi için aşağıdaki adrese bakabilirsiniz: |
| Konu : Aslında bu Apache nin bir açığı değil sistemi yöneten kişinin açığı. Bu konu özellikle birden fazla insanin sayfa bulundurduğu ve Hosting firmaları ile yakından alakalıdır. Ön Bilgi : Açıklama : Diğer yandan bu şekilde bir PHP kodu ile Remote Exploit lere göre çok daha etkili olan Local Exploit ler sistemde çalıştırılıp root yetkilerine erişilebilinir, en basitinden saldırgan arkadaşımız hiç bir şey yapamazsa sinirden ‘dd if=/dev/zero of=/tmp/booom’ yapabilir. Sisteminizi test etmeniz için aşağıdaki işlemleri uygulayabilirsiniz.
(Yukarıdaki PHP kodunda ufak 2 hata ekledim bir sistem yönetici iseniz zaten farkına varıp düzeltirsiniz fakat burdan bu kodu copy/paste edip T.S. lik yapacak insanlar icin biraz manual okuma alışkanlığı yapariz en azından) Yukarıdaki dosyayı sitenizde bir yere koyun ve koddakı gerekli yerleri düzelttikten sonra sayfaniza giriniz ardından sistemde baska bir user`a ait PHP koduna bakınız eğer gerekli güvenlik önlemleri alınmadıysa gözükecektir. Önlem : php_admin_flag safe_mode on satırlarını eklemeniz yeterli olacaktır. Hazırlayan : |