Dünyayı panikleten siber saldırı krizine karşı TBMM'de alarma geçti. TBMM SOME (Siber Olaylara Müdahale Ekibi) vekilleri ve çalışanları siber saldırıya karşı uyardı.
İşte o uyarı:
“Dünya genelinde phishing (eposta oltalama) ile bulaştırılan WannaCry Ransomware'ın, Microsoft dosya paylaşım servisi SMB zafiyetinden faydalanıp iç ağda yayıldığı ve tüm kritik dosyaları geri döndürülemeyecek şekilde şifrelediği tespit edilmiştir. Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yürütülen Ulusal Siber Olaylara Müdahale Merkezi (USOM) Microsoft SMB zafiyetlerini hedef alan bu zararlı yazılım hakkında uyarılarını tekrarlamaktadır ( https://www.usom.gov.tr/tehdit/209.html ).
Şüpheli olduğunu düşündüğünüz epostaları herhangi bir işlem yapmadan http://some@tbmm.gov.tr adresine bildiriniz ve siliniz.
Bu bağlamda;
SMB (Service Message Block): Windows işletim sistemlerinde, genellikle iç ağda dosya
paylaşımı için kullanılan servistir.
SMB servisi üzerinde sıklıkla zafiyetlerin tespit edilmesi nedeniyle, servisi kullanan
sistemler üzerinde düzenli olarak güvenlik sıkılaştırmaları ve güvenlik güncellemelerinin
uygulanması büyük önem arz etmektedir. Örnek olarak yayınlanan zafiyetler aşağıdaki
gibidir:
16.03.2017 – MS17-010 - CVE-2017-0143 -0148
https://support.microsoft.com/tr-tr/help/4013389/title
25.09.2010 – MS10-061 - CVE-2010-2729
https://technet.microsoft.com/tr-tr/library/security/ms10-061.aspx
08.09.2009 – MS09-001 - CVE-2009-3103
https://technet.microsoft.com/tr-tr/library/security/ms09-001.aspx
25.09.2008 – MS08-067 - CVE-2008-4250
https://technet.microsoft.com/tr-tr/library/security/ms08-067.aspx
Uzaktan Kod Çalıştırma (Remote Code Execution): Sistem üzerindeki servis, uygulama veya işletim sistemindeki güvenlik zafiyetleri kullanılarak, sistem üzerinde uzaktan komut çalıştırılarak geçekleştirilen siber saldırıdır. Bu durum genellikle sistem üzerindeki servis,
uygulama veya işletim sistemi güvenlik yamalarındaki eksiklikler kullanılarak gerçekleştirilir. Bu güvenlik açığını suistimal eden saldırganlar, sistemin hizmet verememesine, sistemin ele geçirilmesine veya sistem üzerinden kritik verilerin
çıkarılmasına neden olabilir. Uzaktan kod çalıştırarak sunucuyu ele geçirmiş veya sunucu üzerindeki hassas bilgilere erişmiş (RAM datası gibi) bir saldırgan, sunucudaki kullanıcı adlarına, şifrelere ve gizli kriptografik anahtarlara ulaşabilmektedir. Kötü amaçlı kişiler, ele geçirilen bu anahtarlar ile sistemdeki bütün iletişimi gözlemleyebilir ve sisteme daha fazla zarar verebilir. Bu konuda, son zamanlarda TURKCELL, TURK TELEKOM, VODAFONE, vb. gibi kurumlardan gönderilmiş gibi gösterilen ve içerisinde Faturanız olduğu belirtilen ya da PTT, YURTİÇİ KARGO, UPS, vb. gibi kurumlardan gönderilmiş gibi gösterilen ve içerisinde Kargonuz ile ilgili bilgiler olduğu belirtilen taklit epostalar vasıtasıyla Microsoft SMB zafiyetine yönelik saldırılar yapılmaktadır. Kurumsal Siber Güvenlik ve Bilgi Güvenliği kapsamında;
1) Yukarıda belirtmiş olduğumuz saldırılardan korunabilmek için, ilgili güncellemelerin
sisteminizde kurulu olduğundan emin olunuz. Eğer kurulu değil ise, ilgili
güncelleştirmeleri ivedilikle sisteminize kurunuz.
Güncellemelerin kurulumu için:
Başlat düğmesini tıklatın, Tüm Programlar'ı tıklatın ve sonra Windows Update'i
tıklatın.
2) Size gelen postaların kimden geldiğini, adresini, gönderici internet adresinin (domain)
gerçekten var olup olmadığını kontrol ediniz. Özellikle kamu kurumları, bankalar,
Telekom ve GSM operatörleri, kargolar gibi fatura, işlem bilgisi, kargo bilgisi gönderen
kurumlarda bu hususa azami özeni gösteriniz.
3) İçerisinde başka bir sayfaya yönlendiren bağlantı veya buton olan epostaların (kurumsal
veya güvenilir bir eposta üzerinden geliyor olsa dahi) yönlendirdiği sitenin adres
satırında yazan adresini ve varsa güvenlik sertifikasını kontrol ediniz.
4) Epostalar aracılığıyla gelen dokümanlar genelde Wd (.doc/.docx), Excel (.xls/.xlsx),
Powerpoint (.ppt/.pptxveya Adobe Reader(.pdf) formatındadır. Eklerinde uygulama
dosyası (“.exe, .msi vb.”) bulunan epostaları some@tbmm.gov.tr adresine gönderdikten
sonra siliniz. Gelen eposta ekinden indirdiğiniz klasörlerin (.zip/.rar vb.) içinden
uygulama dosyası “.exe, .msi vb.” çıkması halinde bu dosyaları asla çalıştırmayınız.
5) İçerisinde başka bir sayfaya yönlendiren bağlantı veya buton olan epostalardaki
bağlantılardan (linklerden), güvenilirliğinden emin olmadığınız bağlantıları (linkleri)
açmayınız.
6) Şüpheli olduğunu düşündüğünüz eposta vb. durumları herhangi bir işlem yapmadan
http://some@tbmm.gov.tr adresine bildiriniz .
Saygılarımızla bilgilerinize arz ederiz.”
AVAZTURK/Ali Çavuş