Yazılar

Lenovo bilgisayarlarda yeniden arka kapı tespit edildi

lenovo-bilgisayarlarda-yeniden-arka-kapi-tespit-edildiÇin’li bilgisayar üreticisi Lenovo’nun BIOS içerisine gizlediği rootkit zararlı yazılımı tespit edildi.

Daha önce Lenovo’nun sattığı bilgisayarlara Superfish ismindeki spyware yazılımını yüklediği ortaya çıkmıştı. Bu skandalın üzerinden çok geçmeden daha tehlikeli bir zararlı uygulamaya rastlandı. UEFI seviyesinde gizli olarak yerleştirilmiş rootkit Lenovo G50-80 marka yeni alınan bir laptopta tespit edildi. Tamamen temiz olarak baştan kurulan ve Lenovo ile gelen disklerle yüklemesi yapılan sistemde tespit edildi.

İşletim sistemi yeniden kurulduktan sonra ilk reboot işleminin ardından aşağıdaki gibi bir mesaj alınıyor;

“Note: This is from the product itself and not from the network. To help you continue to upgrade system firmware and software, in order to make your system more stable, safe and high performance, download and install the Lenovo system optimization software. The software download process needs to connect to the internet. Click here to read the Lenovo License Agreement LLA”

Bunun anlamı, BIOS işletim sisteminin yeniden kurulduğunu anlıyor ve tekrar sistemde arka kapı oluşturacak dosyaları kopyalamak için uyarıyı gösteriyor. Normal bir Windows sistemle farklılıklar karşılaştırıldığında çok sayıda değişiklik yapıldığı görülüyor. Sistemde LenovoCheck.exe ve LenovoUpdate.exe gibi dosyalar da bulunuyor. Bu dosyalardan biri silinse bile tekrar sistem reboot edildiğinde aynı mesaj gözüküyor ve dosyalar yeniden kopyalanıyor.

Servisler içerisinde “Lenovo Update” olarak gösterilen servisi kapatsanız bile tekrar otomatik olarak aktif hale getiriliyor. Cihaz internete bağlandığında ise Lenovo’ya bağlanarak bir .json dosyası üzerinden çeşitli veriler alıp gönderiyor. Bu işlem için ise SSL kullanılmıyor. Tamamıyla güvensiz olan bu yöntem sayesinde uzaktan sistemde kod çalıştırmak veya iletişimi izleyerek man-in-the-middle saldırılarında bulunmak mümkün.

Problemin çözümü için BIOS güncellemesi yapılması gerekiyor fakat öncesinde yeni ROM içerisinde “NovoSecEngine2” isimli modülün bulunarak kaldırılması gerekiyor. Bu işlemi yaparken dikkatli olmak gerekli çünkü laptop kullanılamaz hale gelebilir. BIOS yeniden yazıldıktan sonra c:\Windows\system32\autochk.exe dosyasını Lenovo’nun mu yoksa Microsoft’un mu imzaladığına bakarak rootkit’in aktif olup olmadığı anlaşılabilir. Alternatif olarak Lenovo’nun yayınladığı son BIOS güncellemesi de kullanılabilir fakat kontrol etmekte yarar var gibi gözüküyor.

Lenovo’nun konu ile ilgili açıklaması ise artık LSE denilen rootkit’in Lenovo cihazlarla birlikte dağıtılmadığı, eski cihazların ise BIOS güncellemesi yaparak kurtulabileceği yönünde oldu.

Lenovo marka thin client, desktop, laptop çeşidi çok sayıda bilgisayar Türkiye’nin en kritik kamu, özel sektör kuruluşlarında kullanılıyor. Rootkit’ten etkilenen Lenovo modelleri;

Lenovo Notebook

  • Flex 2 Pro 15 (Broadwell)
  • Flex 2 Pro 15 (Haswell)
  • Flex 3 1120
  • Flex 3 1470/1570
  • G40-80/G50-80/G50-80 Touch
  • S41-70/U41-70
  • S435/M40-35
  • V3000
  • Y40-80
  • Yoga 3 11
  • Yoga 3 14
  • Z41-70/Z51-70
  • Z70-80/G70-80

Lenovo Desktop

  • A540/A740
  • B4030
  • B5030
  • B5035
  • B750
  • H3000
  • H3050
  • H5000
  • H5050
  • H5055
  • Horizon 2 27
  • Horizon 2e (Yoga Home 500)
  • Horizon 2S
  • C260
  • C2005
  • C2030
  • C4005
  • C4030
  • C5030
  • X310(A78)
  • X315(B85)
  • D3000
  • D5050
  • D5055
  • F5000
  • F5050
  • F5055
  • G5000
  • G5050
  • G5055
  • YT A5700k
  • YT A7700k
  • YT M2620n
  • YT M5310n
  • YT M5790n
  • YT M7100n
  • YT S4005
  • YT S4030
  • YT S4040
  • YT S5030

Sadece JavaScript kullanarak uzaktan donanım hacklemek

sadece-javascript-kullanarak-uzaktan-donanim-hacklemekGüvenlik araştırmacıları Rowhammer adındaki açık sayesinde donanım seviyesine inip DRAM’ı exploit edebildiler.

Rowhammer açığı biliniyordu fakat bugüne kadar bu şekilde etkin istismar edilememişti. Açık sayesinde uzaktan sistemde yönetici haklarına sahip olmak mümkün. Açık JavaScript kullanılarak istismar edilebiliyor. Üstelik DRAM’ın exploit edildiği bu açığın uzaktan yazılım ile tetiklenen ilk donanım açığı olduğunu belirtmekte fayda var.

Zayıflık 2009’dan beri üretilen tüm Intel işlemcili sistemlerde bulunuyor ve tamamıyla donanım bazlı bir güvenlik açığı. Kullanıcı bir web sitesinde gezerken uzaktan JavaScript ile exploit edilebiliyor. Internette neredeyse tüm web sitelerinde JavaScript kodları kullanılıyor. Dolayısıyla açıktan tamamıyla korunmak için JavaScript’i kapatmak demek web sitelerini doğru görünteleyememek anlamına geliyor.

İşin bir diğer kötü tarafı ise açıkla ilgili herhangi bir yama olmaması. Teknik olarakta bir yama yayınlanması mümkün gözükmüyor. Açığın yamanması için milyonlarca DRAM çipinin değiştirilmesi gerekiyor ki bu da pratikte mümkün gözükmüyor. Yine de Intel açığın üzerinde etkili olabilecek bir yama için çaba harcıyor. Diğer yandan Apple ve diğer donanım üreticileri BIOS güncellemeleri yayınlayarak Rowhammer saldırılarına karşı olabildiğince önlem sunmaya çalışıyorlar.

Genel olarak bakıldığında çoğu kullanıcı, hatta kurumsal firmalar bile BIOS güncellemelerine gereken önemi vermiyor. Bu da Rowhammer açığının gelecekte çok farklı saldırı vektörleriyle karşımıza çıkacağının habercisi gibi gözüküyor.

Göz ardı edilen tehlike: BIOS

goz-ardi-edilen-tehlike-biosEndüstri yoğun şekilde işletim sistemleri, browserlar, yazılımlar, gömülü sistemlere dair açıklar ve dahasıyla uğraşırken göz ardı edilen BIOS çok ciddi tehditlere gebe.

Milyonlarca BIOS teknik bilgi gerektirmeksizin hacklenebilir şekilde kullanılmaya devam ediyor. BIOS’lar saldırmak için ideal bir hedef. Yapısı gereği yüksek haklarla, kalıcı ve gizli erişim sağlamak için kullanılabiliyor. Üstelik neredeyse kimse de BIOS’ları yamamıyor.

LightEater adı verilen zararlı yazılım ile şimdiye kadar Gigabyte, Acer, MSI, HP, Asus gibi üreticilere ait BIOS’lar istismar edilerek GPG özel şifreleme anahtarı çalınabildi. Üstelik bu saldırıyı uygulamak için saldırganın iki dakikadan az süre için bilgisayarınıza erişimi olması yeterli. Sadece veri ele geçirmek için sızmak değil. Aynı zamanda LightEater sahip olduğu kernel driver ile CPU ve flash chip’e komutlar göndererek sistemin kapanarak bir daha açılmamasını da sağlayabiliyor.

LightEater kişisel, kamu, ticari, askeri gibi her türlü alanı doğrudan ilgilendiren bir problem. Diğer alanlara odaklanırken unutulan BIOS güncellemelerinin IT ekipleri tarafından takip edilerek yapılması önemini her geçen gün arttırıyor.