CVE-2020-1380 · Bilgilendirme

Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability

CVE-2020-1380, Microsoft Internet Explorer'daki bellek bozulması ile uzaktan kod yürütme zafiyetini ifade eder.

Üretici
Microsoft
Ürün
Internet Explorer
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2020-1380: Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-1380, Microsoft Internet Explorer'da bulunan ve uzaktan kod yürütme (RCE - Remote Code Execution) olanağı tanıyan bir bellek bozulma zafiyetidir. Önemli bir güvenlik açığı olan bu zafiyet, kullanıcının etkin olduğu oturumda kötü amaçlı kodların çalıştırılmasına olanak tanıyabilir. Bu zafiyetin arka planında, Internet Explorer'ın JavaScript motorundaki bir bellek yönetim hatası yatmaktadır. Bu hata, kötü niyetli bir saldırganın özel olarak hazırlanmış bir web sayfası aracılığıyla kullanıcının cihazına erişim sağlamak için kullanılabilir.

CVE-2020-1380'in teknik analizi, Microsoft'un Internet Explorer'ındaki Script Engine (Scripting Engine) bileşeninin bir kısmındaki bozulma ile ilgilidir. Bu bozulma, bellek alanlarının yanlış bir şekilde yönetilmesine neden olur, bu da bir bellek aşımı (Buffer Overflow) ile sonuçlanabilir. Bellek aşımı, programın bellek içerisinde beklenmeyen bir bölgeye veri yazmasına neden olarak, saldırganların programın kontrolünü ele geçirmesine zemin hazırlar. Bu aşım, JavaScript'in randımanlı işlenmesini sağlamak amacıyla bir dizi bellek alanının tahsis edilmesi sırasında ortaya çıkabilir.

Teknoloji dünyasında önemli bir yere sahip olan bu zafiyetin etkileri, çeşitli sektörlerde hissedilmiştir. Eğitim, finans, sağlık ve kamu sektörü dahil olmak üzere birçok alanda, çalışanlar ya da kullanıcılar Internet Explorer tarayıcısını kullanıyorsa, bu açığa maruz kalmışlardır. Örneğin, bir eğitim kurumu, online derslerinde bu tarayıcıyı kullanıyorsa, öğrenciler ve öğretim üyeleri bu zafiyetin hedefi olabilmektedir. Benzer şekilde, finans sektöründeki çalışanlar, günlük işlemlerinde bu tarayıcının kurulumunu yaparken, kimlik bilgilerini ele geçirmek amacıyla tasarlanmış sahte sayfalara yönlendirilebilir.

Gerçek dünyada meydana gelen saldırılar, CVE-2020-1380 zafiyetinin önemini gözler önüne sermektedir. Örneğin, kötü niyetli bir saldırgan, hedef kullanıcının dikkatini çekecek bir e-posta aracılığıyla sahte bir web sayfasına bağlantı gönderebilir. Kullanıcı, bağlantıya tıkladığında, Internet Explorer kullanarak açılan bu sayfada zararlı JavaScript kodları çalıştırılabilir. Eğer kullanıcı, yeterince dikkatli olmazsa ve güvenlik güncellemelerini ihmal ederse, cihazını kontrol eden saldırganın hedefi haline gelebilir.

Zafiyetin adreslenmesi için Microsoft, güvenlik yamalarını zamanında yayınladı. Ancak, bu tür zafiyetlerin kalıcı olarak ortadan kaldırılması, kullanıcıların tarayıcılarını güncel tutmaları, güvenlik yazılımlarını aktif hale getirmeleri ve şüpheli bağlantılardan kaçınmalarıyla mümkündür. Bu bağlamda güvenlik farkındalığı eğitimi, hem bireyler hem de kurumlar için son derece önemlidir.

Sonuç olarak, CVE-2020-1380 zafiyeti, sadece belirli bir yazılım parçasındaki bir hata değil; aynı zamanda kullanıcı davranışları ile doğrudan ilişkili bir güvenlik sorunudur. Bu tür bellek bozulma zafiyetlerine karşı tetikte olmak ve güvenlik önlemlerini almak, kullanıcıların kendilerini koruması için hayati bir öneme sahiptir.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Internet Explorer (IE) üzerinde CVE-2020-1380 zayıflığı, kötü niyetli bir saldırganın, uygulama içi belirli işlemleri kullanarak uzaktan kod yürütmesine (RCE - Remote Code Execution) olanak tanıyan bir bellek bozulma (Memory Corruption) açığıdır. Bu tür zaafiyetler genellikle uygulamanın bellek yönetimi hataları sonucu ortaya çıkar ve kullanıcının sistemine zarar verme potansiyeline sahiptir. IE gibi köklü bir web tarayıcısındaki bu tür zayıflıklar, saldırganlar için cazip hedefler haline gelmektedir.

Bu zayıflığın teknik sömürüsü, belirli adımlar izlenerek gerçekleştirilebilir. Öncelikle, saldırganın hedef kullanıcıdan gelen bir HTTP isteğine müdahale etmesi veya onu yanıltması gerekmektedir. Öncelikle gereken ortam ve araçlar hazırlanır. Bu aşamada, Metasploit Framework veya benzeri bir istismar çerçevesi kullanılabilir. Aşağıda sömürme adımları ayrıntılı olarak açıklanacaktır.

1. Hedef Seçimi ve Gerekli Araçlar

Öncelikle, zayıflıktan etkilenen bir sistem belirlenmelidir. Windows 10 üzerindeki Internet Explorer sürümleri, bu zaafiyetten etkilenmektedir. Hedef sistemde hedef kullanıcının oturum açmış olması gerekmektedir. Sömürme işlemi için Python gibi bir programlama dili kullanarak bir exploit geliştirmek faydalı olacaktır.

Örneğin, requests ve beautifulsoup4 kütüphaneleri ile çalışarak bir HTTP isteği hazırlamak mümkündür.

import requests

url = "http://hedef.site/target"
payload = "<script>alert('Hacked!');</script>"

response = requests.post(url, data={'input': payload})

print(response.text)

2. İlk Aşama: Payload Geliştirme

Bellek bozulma zafiyetini kullanarak, durum çökmesi veya istenmeyen durum yaratmak için bir Payload geliştirilmelidir. Bu aşamada, JavaScript tabanlı bir saldırı senaryosu oluşturulabilir. İşte bir örnek payload:

function exploit() {
    var malicious = new Array(1000);
    malicious[0] = "A".repeat(5000); // Buffer Overflow yaratmak için büyük bir veri
    var execute = function() {
        // Hedeflenen kodu buraya yerleştirin
    };
    execute();
}
exploit();

3. Sömürü Süreci

Hedef siteye zararlı payload’ın gönderilmesi önemlidir. HTTP isteği üzerinden gönderilen verinin mevcut hedef sistemde uygun bir şekilde işlenmesini sağlamak gerekir. Burada, geliştirilen payload'ın sunucu üzerinden hedef kullanıcıya ulaşması sağlanır. 

import requests

# Hedef URL
target_url = "http://hedef.site/exploit"

# Zararlı kodu içeren istek
malicious_request = {
    'payload': "<script type='text/javascript'>exploit();</script>"
}

response = requests.post(target_url, data=malicious_request)

if "Hacked!" in response.text:
    print("Sömürü başarılı!")
else:
    print("Sömürü başarısız.")

4. Son Aşama: Kod Yürütme

Sömürü işlemi başarılı olduğunda, hedef sistemde kod yürütme (Code Execution) gerçekleşebilir. Kullanıcı yetkisi içinde çalıştırılan bu komutlar, saldırganın kontrolündeki sisteme geçiş yapmasına olanak tanır. Kullanıcıların dikkat etmesi gereken en önemli nokta, zararlı kodların yüklenmesini engellemektir.

Sonuç

CVE-2020-1380 zayıflığı, özellikle Internet Explorer kullanıcılarını hedef alan bir bellek bozulma açığıdır. "White Hat Hacker" perspektifiyle bakıldığında, bu tür zayıflıklar sadece zarar vermekle kalmaz, aynı zamanda güvenlik açıklarını anlamak ve önlemek için de bir fırsat sunar. Geliştiriciler ve sistem yöneticileri, bu tür zayıflıkları tespit etmek ve patch'leri uygulamak için dikkatli olmalıdır. Böylece bilinçli bir güvenlik durumu oluşturulabilir ve kullanıcıların verileri koruma altında tutulabilir.

Forensics (Adli Bilişim) ve Log Analizi

Microsoft Internet Explorer Scripting Engine'de bulunan CVE-2020-1380 zafiyeti, siber saldırganların hedef sistemde uzaktan kod çalıştırmasına (RCE - Uzaktan Kod Çalıştırma) olanak tanır. Bu tür bir zafiyet, kötü niyetli kullanıcıların mevcut kullanıcı bağlamında, genellikle otomatik olarak yürütülen kötü amaçlı kodlar aracılığıyla ciddi güvenlik tehditleri oluşturmasına fırsat verir. Adli bilişim (forensics) ve log analizi açısından, bu tür zafiyetleri tespit etmek kritik önem arz eder.

Gerçek dünya senaryosunda, bir kullanıcı Internet Explorer aracılığıyla şüpheli bir dosyayı indirirse ya da kötü amaçlı bir web sitesine giderse, CVE-2020-1380 zafiyetinin istismar edilme olasılığı vardır. Burada adli bilişim uzmanları, olay sonrası inceleme sürecinde çeşitli log dosyalarını analiz ederek uzaktan kod çalıştırmanın (RCE) belirtilerini tespit etmeye çalışır.

Sistem güvenlik izleme (SIEM) çözümleri, bu tür güvenlik olaylarını izlemek için önemli bir rol oynar. Adli bilişim uzmanları, özellikle erişim logları (access logs) ve hata logları (error logs) gibi farklı log dosyalarını incelemelidir. Bu log dosyalarında aşağıdaki gibi bazı önemli imzalara (signature) dikkat edilmelidir:

  1. Şüpheli URL Ziyaretleri: Internet Explorer üzerinde belirli IP adreslerinden veya alan adlarından gelen istekleri takip edin. Loglar, genellikle bir kullanıcının ziyaret ettiği URL'leri içerir. Özellikle, bilinen kötü niyetli sitelere veya "phishing" (oltalama) sitesi olabilecek URL'lere erişim var mı diye kontrol edilmelidir. Örneğin:
   192.168.1.10 - - [15/Mar/2023:18:23:34 +0000] "GET /malicious-site.com/some-vulnerability-exploit HTTP/1.1" 200
  1. Anormal Dosya İndirme Etkinlikleri: Kullanıcıların sistemlerine indirdiği dosyaların uzantılarına dikkat edilmelidir. Özellikle .exe, .bat, veya diğer yürütülebilir dosyalar anormal bir etkinlik gösterebilir. Loglardaki bir örnek:
   192.168.1.10 - - [15/Mar/2023:18:28:05 +0000] "GET /downloads/malware.exe HTTP/1.1" 200
  1. Hata Mesajları ve İstisna Durumları: Sistem hataları ve istisnaların loglar üzerinde yer alıp almadığına dikkat edin. Kötü niyetli yazılımlar bazen hatalar yaratır ve bu hatalar log dosyalarında kaydedilir. Örneğin:
   [ERROR] 2023-03-15 18:25:10 Exception caught: Memory Corruption at line 42
  1. Anormal Kullanıcı Davranışları: Kullanıcıların alışılmadık bir şekilde sistemde dosya oluşturma veya yürütme faaliyetleri var mı? Belirli bir zaman diliminde anormal etkinlikler gözlemlenirse, bu durumda detaylı bir araştırma gerekecektir.
   2023-03-15 18:30:27 User 'user1' executed 'cmd.exe' from an unknown location.

Bu tür log analizleri sayesinde, bir adli bilişim uzmanı, CVE-2020-1380 zafiyetinin etkilerini tespit edebilir ve olası bir uzaktan kod çalıştırma saldırısını tanımlayabilir. Yine de, zafiyetin tespit edilmesi ve ardından alınacak tedbirlerin uygulanması oldukça önemlidir. Ayrıca, sistemlerin sürekli güncellenmesi, yamalanması ve kullanılan yazılımlardaki zafiyetlerin izlenmesi, genel siber güvenlik düzeyini artırmak için kritik bir faktördür. Adli bilişim çalışmaları sırasında, kullanıcı eğitimi ve güvenlik farkındalığının artırılması da güvenlik açığı istismarını en aza indirmek için önemli bir adımdır.

Savunma ve Sıkılaştırma (Hardening)

CVE-2020-1380, Microsoft Internet Explorer’ın Scripting Engine’inde bulunan bir hafıza yolsuzluğuna (memory corruption) işaret eden kritik bir güvenlik açığıdır. Bu zafiyet, istismar edildiğinde uzak bir kullanıcı kodunun yürütülmesine (RCE - Remote Code Execution) olanak tanır; bu da kötü niyetli bir saldırganın, kurbanın bilgisayarında arka kapı kurarak veya kötü amaçlı yazılımlar yükleyerek kontrol elde etmesine yol açabilir. Bu tür zafiyetlerin önüne geçmek, günümüzde her bilişim uzmanının önemli sorumluluklarından biridir.

Microsoft, bu zafiyetle ilgili olarak bir güncelleme yayımlamış olsa da, yamanmamış sistemler hâlâ saldırıya açık durumda kalmaktadır. Bu bağlamda, kullanıcılara güncellemelerini düzenli olarak yapmaları ve yanı sıra sistemlerini sıkılaştırmaları konusunda bilgi vermek kritik önem taşımaktadır. Bununla birlikte, yalnızca güncelleme ile bu tür zafiyetlerin önüne geçmek yeterli değildir. Kapsamlı bir güvenlik stratejisi oluşturmak ve zafiyet yönetimini düzgün yapmak gerekmektedir.

İlk olarak, Internet Explorer gibi eski ve artık desteklenmeyen tarayıcıların kullanımının minimize edilmesi önerilmektedir. Kullanıcıların, güncel ve desteklenen bir tarayıcıya geçiş yapmaları sağlanmalıdır. Örneğin, Microsoft Edge veya Mozilla Firefox, güncel güvenlik standartlarına uygun olarak geliştirilmiştir ve bu tür zafiyetlere karşı daha dirençlidir.

Sıkılaştırma (hardening) önlemleri almak, potansiyel saldırı yüzeyini azaltmak için atılması gereken önemli adımlardan biridir. İşte aşağıda birkaç sıkılaştırma önerisi:

  1. Güvenlik Duvarı ve Ağ Mühendisliği: Web Uygulama Güvenlik Duvarı (WAF) kullanarak, belirli kurallarla gelen HTTP isteklerinin analizi yapılabilir. WAF üzerinden aşağıdaki örnek kurallar oluşturulabilir:
   SecRule REQUEST_HEADERS:User-Agent "Mozilla/4.0" "id:1000001,phase:1,deny,status:403"
   SecRule ARGS:cmd "^.*$" "id:1000002,phase:2,deny,status:403"

Bu kurallar, eski tarayıcıların ve belirli komutların gönderimini engelleyerek potansiyel istismarların önüne geçer.

  1. Sürekli Güncelleme ve Yamanma: Tüm yazılımlar düzenli olarak güncellenmeli ve yamanmalıdır. Bu, eski yazılımlarda keşfedilen tüm zafiyetlerden korunmak açısından very critical bir adımdır. Yazılım güncellemeleri yalnızca ana uygulama için değil, eklentiler ve tarayıcı uzantıları için de yapılmalıdır.

  2. Kullanıcı Eğitimi: Kullanıcıların dikkatli olması sağlanmalı ve güvenlik konusunda bilinçlendirilmeleri önem arz eder. Şüpheli bağlantılara tıklamamak ve tanımadıkları kaynaklardan gelen e-postalara dikkat etmek gibi konularda eğitim verilmelidir.

  3. Uygulama Denetimi: Uygulama ve sistemlerin sürekli olarak denetlenmesi, hafıza yolsuzluğu gibi zafiyetlerin daha hızlı tespit edilmesini sağlar. Yetenekli bir güvenlik ekibi, mevcut sistemler üzerinde penetrasyon testleri yaparak olası istismar alanlarını belirleyebilir.

  4. Sandbox Kullanımı: Tarayıcıların veya uygulamaların, özellikle test ortamlarında izole bir alanda çalıştırılması, potansiyel zararlı yazılımların ana sisteme erişimini engeller.

Bu öneriler, yalnızca CVE-2020-1380 zafiyetinin değil, benzeri pek çok bilgisayar güvenliği açığının etkilerini azaltmaya yönelik olarak uygulanabilir. Güvenlik, sürekli ve dinamik bir süreçtir; bu nedenle sürekli izleme ve güncelleme gerektiren bir süreç olarak görülmelidir. Alınacak bu önlemler, organizasyonların genel güvenlik duruşunu güçlendirecek ve siber tehditlere karşı daha dayanıklı hale getirecektir.