Firefox, geçtiğimiz Salı günü yayınlamış olduğu 67.0.3 versiyonu ile kritik bir 0-Day‘i düzelterek güncellediklerini belirtmişti. Daha üzerinden bir gün geçmesine rağmen yüksek tehdit seviyesindeki bir zafiyet ile tekrar ortaya çıkarak 67.0.4 güncellemesi geldi. Mozilla şu anda milyonlarca kullanıcısını siber saldırganların yeni bulduğu bu zafiyet konusunda uyarıyor.
Bu haftanın başlarında Firefox 67.0.3‘te aktif olarak sömürülen kritik bir güvenlik açığı mevcuttu. 15 Nisan‘da bir Google Project Zero araştırmacısı tarafından keşfedilen, CVE-2019-11707 olarak adlandırılan bu bug, “remote code execution(uzaktan kod çalıştırma)” zafiyetini kullanarak saldırganların, kurbanları kötü niyetli bir web sitesine yönlendirerek işletim sistemlerinde rastgele kod çalıştırabilmesini sağlıyordu.
Yeni yamadaki CVE-2019-11708 zafiyeti, “sandbox escape (sandbox atlatma)” tekniğini kullanarak Firefox’un korumalı işlemlerinden kaçıyor ve temel işletim sistemi üzerinden kod çalıştırılabilmesini sağlıyor. Tarayıcının sandbox alanı, üçüncü parti prosesleri tarayıcıdan izole edilen bir bölgede sınırlı tutarak işletim sisteminin diğer hassas parçalarına zarar vermesini önleyen bir güvenlik mekanizması olarak kullanılıyor. Zafiyet, parametrelerin yetersiz şekilde onaylanması ile komut istemi üzerinde alt ve üst proseslere Open IPC mesajı gönderilerek, sandbox olmayan bölgede yeni bir web içeriği açabiliyor.
Geçtiğimiz gün macOS güvenlik uzmanı Patrick Wardle, kripto para birimi kullanıcılarına karşı gerçekleştirilen yeni bir saldırı kampanyasının Firefox 0-Day’leri kullanılarak macOS bilgisayarlara malware yüklediğine dair bir rapor yayınladı. Rapor tekniğe ait teknik detayları da içerisinde barındırmakla beraber olası tehlikenin boyutlarını da açıkça gösteriyor.
Bu iki zafiyet birleştirildiğinde ise kullanıcılar çok hızlı bir şekilde sahte sayfaya yönlendirilerek işletim sistemlerinde kod çalıştırılabiliyor. Yani etki alanı hızlı ve geniş.
İki 0-Day Benzer Ataklarda Kullanılıyor
İki zafiyetin de Coinbase personelini enfekte etmek amacıyla, bilinmeyen bir hack grubu tarafından kullanıldığı belirtiliyor.
Coinbase çalışanları, kötü amaçlı sitelere yönlendirmelerini sağlamak amacıyla spear-phishing e-postaları alıyorlardı. Bağlantılara tıklayıp siteyi ziyaret ettiklerinde ise eğer Firefox kullanıyorlarsa sayfa tarayıcılarına ait parolalarını ve diğer verilerini toplayacak bir zararlı yazılım sistemlerinde çalıştırılacaktı.
Saldırıların Mac ve Windows kullanıcıları için hazırlandığı ve her sistem için farklı bir zararlı yazılım geliştirildiği tespit edildi. Saldırılar tespit edilmeden haftalar önce bu saldırıların zaten yapıldığı ve yalnızca Coinbase çalışanlarının değil diğer kripto para birimi şirketlerinin de hedef alındığı söyleniyor.
Saldırılara Karşı Güncelleme
Şu anda saldırılara karşı alınabilecek tek önlem Firefox güncellemelerini takip etmek olacaktır. Şirket mevcut olarak Firefox 67.0.4 ve Firefox ESR 60.7.2‘yi piyasaya sürdü ve saldırganların sistemlerinizi uzaktan kontrol altına almasını önledi. Firefox otomatik olarak güncellemelerini gerçekleştirse de kontrol etmekte fayda var. Firefox’unuzun güncel olup olmadığını, araç çubuğu kısmında “Menü > Yardım > Firefox Hakkında” kısmından öğrenebilirsiniz.
Firefox güncellemesinden sonra Tor Browser‘a da yeni bir güncelleme gelmesi bekleniyor. Tor Browser ekibi, ilk 0-Day’lerine ait bir düzeltme içeren güncellemeyi dün 8.5.2 sürümüyle gidermişti. Diğer bir zafiyet için de önümüzdeki günlerde bir güncelleme gelecek. Bitmek bilmeyen Firefox zafiyetlerinin bu ay artış göstermesinin güvenlik ekibini zor duruma soktuğu kesin.