iOs işletim sitemini kullanan son kullanıcılarımıza önemli bilgilendirme

Rusya merkezli bir siber güvenlik şirketi olan Kaspersky’nin, IOS cihazlarını kötü amaçlı iMessage ekleri aracılığıyla hedef alan siber saldırı kampanyasını incelemek için "Operation Triangulation" adlı uzun süredir devam eden bir çalışma başlattığı gözlemlenmiştir. Saldırının, kullanıcı verilerini çalmak ve sisteme erişim sağlandıktan sonra mesaj eklerinin silinmesi ile iz bırakmamak için güvenlik açıklarını kullandığı bildirilmiştir. Ayrıca saldırının, hedef IOS cihazlarına iMessage ile bir mesaj göndererek başladığı; mesajın zararlı yazılım içeren bir eki içerdiği ve bu ek ile kullanıcı etkileşimi olmadan bir güvenlik açığı tetiklendiği belirtilmiştir. Böylece cihaza bulaşan bu zararlı yazılımın saldırgana sistem içerisinde tam kontrol sağladığı değerlendirilmektedir.

27 Aralık 2023 tarihinde “securelist by Kaspersky” adlı sitede yayınlanan “Operation Triangulation: iOS devices targeted with previously unknown malware” başlıklı bir makalede [1] yukarıda bahsi geçen operation triangulation adlı saldırıların kaynağının Apple sistemlerindeki bir dizi zafiyetin sömürülmesi hasebi ile gerçekleştirildiği belirtilmektedir. Bu zafiyetlerin IOS 16.2'ye kadar olan sürümleri etkilediği ve saldırganlar tarafından özel olarak hazırlanmış bir iMessage ekini (zararlısını) kullanarak, Apple'ın IOS işletim sistemine entegre edilmiş anlık mesajlaşma uygulaması olan iMessage üzerinden gerçekleştirilebildiği, Apple tarafından zafiyet detayı yayınlanmamış bir font tipindeki açık kullanılarak zafiyetin sömürüldüğü saptanmıştır. Bu zafiyet, cihazın uzaktan kod yürütme riskiyle karşı karşıya kalmasına neden olmaktadır. Saldırganlar, bu açığı kullanarak hedef cihazın kontrolünü ele geçirebilmekte ve casus yazılım yükleyebilmektedir. Tespit edilen sıfırıncı gün zafiyeti son kullanıcı özelinde gerçekleşmektedir. 0-click olarak ifade edilen bu zafiyet kullanıcının herhangi bir etkileşimde bulunmadan, yani herhangi bir tıklama, dokunma veya başka bir eylem gerçekleştirmeden cihaz veya uygulamalar üzerinde otomatik olarak gerçekleşen bir sömürme yöntemini ifade eder. Örneğin, saldırganların son kullanıcıya bir iMessage mesajı göndermesi ve bu mesajın son kullanıcıya iletilmesi ile saldırganlar doğrudan cihaz üzerinde tam kontrol sahibi olabilmektedir.

USOM uhdesinde yürütülen siber tehdit istihbarat çalışmaları neticesinde 2-12 Haziran 2023 tarihleri arasında “Triangulation Operasyonu” adı [2] altında Apple iMessage özelliğinde kritik sıfırıncı gün (ing. zero-day) zafiyeti tespit edilmiştir. Yapılan çalışmalar kapsamında 16 adet komuta kontrol sunucusu tespit edilip USOM zararlı bağlantılar listesinde yayınlanarak engelleme işlemi gerçekleştirilmiştir.

SALDIRIDA KULLANILAN ZAFİYETLER

Saldırı aşağıda belirtilen CVE kodlarındaki kritik güvenlik zafiyetlerinden yararlanmaktadır.
1. CVE-2023-41990: Detaylı bilgisi paylaşılmamış olan ve 90’lı yıllardan bu yana Apple tarafından kullanılan ADJUST TrueType yazı stilindeki uzaktan kod yürütme açığı.
2. CVE-2023-32434: XNU'nun bellek eşlemesi sistem çağrılarındaki tamsayı taşma açığı.
3. CVE-2023-38606: Donanım bellek haritalı G/Ç (MMIO) kayıtları kullanılarak Page Protection Layer (PPL) geçişini atlamak için kullanılan açık.
4. CVE-2023-32435: Saldırganların özel olarak tasarlanmış bir iMessage ekini kullanarak hedef cihazda shellcode (zararlı kod) yürütmesine imkan veren açık.

IOS 16.2'ye kadar olan sürümlerde mevcut olan bu zafiyetin, saldırganların son kullanıcı cihazlarında uzaktan tam yetki sağlamak üzere zincirleme bir saldırı yöntemiyle tetiklenebildiği bildirilmiştir. Bununla birlikte saldırganların özel olarak oluşturulmuş bir iMessage ekini (zararlısını) kullanarak Apple'ın IOS işletim sistemine entegre edilmiş olan iMessage anlık mesajlaşma uygulaması aracılığıyla sömürülebildiği değerlendirilmiştir. Apple, bu zafiyetin detaylarını yayınlamamış olup, saldırganların spesifik bir font tipindeki açığı kullanarak zafiyeti sömürdüğünü ve söz konusu zafiyet ile saldırganlar cihazda en yetkili kullanıcı gibi sistem üzerinde işlem yapabildiğini bildirmiştir

Bu nedenle, belirtilen güvenlik önlemlerinin son kullanıcılar tarafından ivedilikle alınması gerekmektedir.

ALINMASI GEREKEN ÖNLEMLER

1. Sistem Güncellemesi: Kullanılan IOS işletim sisteminin düzenli olarak güncellenmesi ve en son güvenlik yamalarını uygulanması,
2. İki Faktörlü Kimlik Doğrulama (2FA): IOS cihazları ve hesaplarının çok faktörlü kimlik doğrulama (2FA) özelliğinin aktifleştirilmesi,
3. Uygulama Yüklenmesi ve Güncellenmesi: Yalnızca güvenilir uygulama mağazalarından uygulama indirilmesi ve mevcut uygulamaların düzenli aralıklarla güncellenmesi,
4. FaceTime ve iMessage Uygulamalarının Kapatılması: Gizlilik ve güvenlik amacıyla, FaceTime ve iMessage gibi iletişim uygulamalarının devre dışı bırakılması,
5. Kullanıcı Hesabı ve Parola Koruması: Güçlü parolalar kullanarak hesap güvenliğinin sağlanması ayrıca düzenli aralıklarla parolaların güncellenmesi,
6. iCloud Yedeğinin Kapatılması: iCloud yedekleme özelliğinin sadece gerektiğinde aktif hale getirilmesi, aksi durumlarda kapalı tutulması,
7. Kilit Ekranı ve Siri Erişimi: Mevcut cihazdaki kilit ekranı özelliklerinin sıkılaştırılması, Siri uygulamasının kilit ekranında erişimini sınırlandırılması,
8. Uygulama İzinleri: Kullanılan uygulamalara verilen izinlerin düzenli olarak kontrol edilmesi ve sadece gerekli durumlarda aktifleştirilmesi. Uygulamaların Kamera, mikrofon, fotoğraf gibi hassas verilere erişimlerinin sınırlandırılması,
9. Kablosuz Bağlantı Özellikleri: Kablosuz bağlantı özelliklerinin sadece ihtiyaç duyulduğu durumlarda aktifleştirilmesi,
10. Konum Servisleri: Konum servislerinin yalnızca gerektiğinde kullanılması ve gereksiz uygulamaların konum servislerine erişimlerinin kısıtlanması,
11. Uygulama Takip Servisinin Kapatılması: Uygulama takip servisinin devre dışı bırakılması,
12. Lockdown Modunun Açılması: IOS cihazları son derece nadir ve yüksek derecede siber saldırılara karşı korumaya yardımcı olur. Bu özelliğin aktifleştirilmesi,
13. Safari Otomatik Tamamlama Özelliğinin Devre Dışı Bırakılması: Safari web tarayıcısı uygulamasında kullanıcı adı ve parola bilgilerinin otomatik tamamlanmasının engellenmesi gerekmektedir.

KAYNAKLAR

[1] https://www.kaspersky.com/about/press-releases/2023_operation-triangulation-kaspersky-releases-utility-for-malware-detection
[2] https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/