Imperva Red Team tarafından yeni açıklanan SymStealer güvenlik açığı CVE-2022-3656, Google Chrome ve Chromium tabanlı tarayıcıların 2,5 milyardan fazla kullanıcısını etkiliyor. Raporlar, bulut sağlayıcı kullanıcı kimlik bilgileri ve kripto cüzdanları dahil olmak üzere hassas dosyaların bu kusur nedeniyle çalınmış olabileceğini söylüyor.
Chrome, %65,52 pazar payına sahiptir ve bu da onu en popüler tarayıcı yapmaktadır. Chrome’un açık kaynak varyantı olan Chromium, en iyi 6 tarayıcıdan ikisi olan Edge ve Opera’nın temelidir ve Chromium’un pazar payını %70’in üzerine çıkarır.
SymStealer Güvenlik Açığının Ayrıntıları
Böceğe Imperva araştırmacıları tarafından SymStealer adı verildi. Sorun, bir saldırgan yetkisiz dosyalara erişmek ve program sınırlamalarını aşmak için Dosya Sistemini kullandığında ortaya çıkar.
Imperva’nın analizi, bir kullanıcı bir klasörü doğrudan bir dosya giriş öğesine sürükleyip bıraktığında, tarayıcının tüm sembolik bağları bir uyarı görüntülemeden yinelemeli olarak çözdüğünü ortaya çıkardı.
“Testimiz sırasında, bir dosya veya klasörü bir dosya girişine bıraktığınızda, bunun farklı şekilde ele alındığını gördük. Sembolik bağlantılar işlenir, yinelemeli olarak çözülür ve kullanıcı için ekstra bir uyarı veya onay yoktur”, Imperva Red Team.
Başka bir dosyaya veya dizine işaret eden bir dosya türü, genellikle sembolik bağlantı olarak bilinen “sembolik bağlantı” olarak adlandırılır. Bunu yaparak, işletim sistemi bağlantılı dosya veya dizini sanki sembolik bağın olduğu yerdeymiş gibi işleyebilir.
Kısayollar, yeniden yönlendirme dosya yolları ve daha esnek dosya organizasyonunun tümü bu kullanılarak gerçekleştirilebilir.
Kullanıcıdan “kurtarma” anahtarlarını indirmesini istemek, web sitesinin kullanıcıyı yeni bir cüzdan oluşturması için kandırmasına yol açabilir.
Gerçekte, bu anahtarlar, bulut sağlayıcı kimlik bilgileri gibi, kullanıcının bilgisayarındaki hassas bir dosya veya klasöre sembolik bağlantı içeren bir zip dosyası olacaktır.
Sembol bağlantısı etkinleştirilecek ve kurban “kurtarma” anahtarlarını açıp web sitesine geri yükledikten sonra saldırgan hassas dosyaya erişebilecektir.
Web sitesi orijinal görünecek şekilde yapılmış olabilir ve “kurtarma” anahtarlarını alma ve yükleme süreci düzenli görünebilir, bu nedenle kullanıcı bir şeylerin ters gittiğinin farkında bile olmayabilir.
Hesaplarına erişmek için, kripto cüzdanları da dahil olmak üzere birçok çevrimiçi hizmetin müşterilerinin “kurtarma” anahtarlarını indirmesi gerekir.
Saldırgan, kullanıcıya gerçek kurtarma anahtarları yerine sembolik bağlantı içeren bir zip dosyası sağlayarak bu yaygın uygulamadan yararlanır. Kullanıcı dosyayı açıp yüklediğinde, sembolik bağlantı işlenerek saldırganın kullanıcının bilgisayarındaki hassas dosyalara erişmesine izin verilir” diye açıklıyor araştırmacılar.
Dosya giriş öğesinin boyutu, Imperva araştırmacıları tarafından CSS kullanılarak değiştirildi, böylece klasör sayfada nereye bırakılırsa bırakılsın dosya yüklenir.
Son söz
Bilgisayar korsanları, kripto para cüzdanlarına erişmek ve içerdikleri parayı çalmak için sık sık yakın zamanda kamuya açıklanan yazılım kusurlarından yararlanır.
Kripto para birimi varlıklarınızı güvence altına almak istiyorsanız, yazılımınızı güncel tutmanız ve yetkisiz kaynaklardan dosya indirmeyi veya bağlantılara tıklamayı durdurmanız çok önemlidir.
Bir donanım cüzdanı, kripto para biriminizi saklamak için başka bir akıllı seçimdir çünkü internete bağlı değildir, bu da onu bilgisayar korsanlığı saldırılarına karşı daha az duyarlı hale getirir.
Araştırmacılar, kripto hesaplarınız için güvenli, benzersiz parolalar oluşturmak üzere bir parola yöneticisi kullanmanızı ve ayrıca iki faktörlü kimlik doğrulamayı etkinleştirmenizi tavsiye ediyor.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin