SUSKUN
02-01-2006, 11:33 PM
IExplorer Açıkları ve Korunma yolları
Çoğumuz internette gezinirken bilgisayarlarımıza bulaşan spyware lerden, haberimiz olmadan ana sayfamızın değiştirilmesinden, browserımıza arama motorları eklenmesinden, internetimizin hızının düşmesinden bıkmış durumdayız. Bunlardan daha da kotusu interentte gezinirken onemli kişisel bilgilerimizin, banka hesap numaraları yada şifrelerimizin calınma olasılığıyla beraber yaşıyoruz.
Peki bu istenmeyen durum ve tehlikelerden kurtulmak icin ne yapmak lazım. Birçok yerde bu tarz şeylerden korunmak icin belli başlı programlar onerilir. Maalesef bu programlar, kullanıcı hataları, programların guncelliklerini yitirmeleri veya yetersiz kalmaları yuzunden her zaman iş gormezler. Ben burada program onermek yerine sorunların kaynağı olan başlıca acıklardan ve korunma yontemlerinden bahsetmek istiyorum.
Aslında bu sorunların çoğunun kullandığımız browser dan kaynaklandığını bilmemiz gerek oncelikle. Çoğumuz internette gezinirken browser olarak Internet Explorer ı kullanıyoruz. Ve başımıza gelen bir cok iş bu explorerın acıklarından kaynaklanıyor. Explorer, masum gibi gorunen bir linke tıklayarak yada masum bir maili okumaya kalkışarak bilgisayarımızı başkalarının ellerine teslim etmemizi sağlayabiliyor bazen. Burada Explorer ın en tehlikeli bulduğum acıklarından bahsedecem:
1- "application/hta" MIME türünün bir object tagı ile referans edilmesi durumunda Explorer ın sorgusus script calıştırması:
Bu açık sayesinde kotu niyetli bir site sahibi bilgisayarınızda sorgusuz suhalsiz istediği kodu calıştırtabiliyor. Explorer application/hta türünde gonderilen bir veriyi size sormadan çalıştırabiliyor ve hta scriptleri bilgisayarınıza her turlu işlemi yaptırma yeteneğine sahip scriptler. Aşağıda benim hazırladığım bir ornek link var. Eğer bilgisayarınızda son guncellemeler mevcut değilse linke tıkladıktan sonra bilgisayarınızda zararsız test amaclı olan Radres.exe diye bir uygulama calıştırılacak.
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Eğer bu linke tıkladıktan sonra bilgisayarınızda radres.exe calıştırıldıysa buyuk tehlike altında dolanıyorsunuz internette demektir. Şu an bu açığın patch ini yuklememiş milyonlarca bilgisayar var.
Explorer ın bu açığından kurtulmak istiyorsanız bilgisayarınıza Windows un ve Explorer ın son guncellemelerini yukleyin.
2- MHTML yonlendirmesi ile bilgisayardaki verilerin okutulması
Explorer mhtml dosyaları ile text turu dosyalardan veri okutabiliyor. Bu normalde sunucuda bulunan bir text dosyası oluyor. Ama Explorer ın bir acığı sayesinde gecersiz mhtml dosyaları kullanarak istemcinin bilgisayarındaki text dosyalarını sunucunun okuması mumkun. Aşağıda hazırladığım linkdeki ornek bilgisayarınızın c surucusunde test.txt diye bir text dosyası bulunduğunu farzedip onu okuyan bir html dosyası var. Linki test etmeden once bilgisayarınızın c surucusunde test.txt diye bir dosya oluşturup içine bir şeyler yazın.
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Gordüğünüz gibi ziyaret ettiğiniz siteler bilgisayarınızdaki verileri okuyabiliyor. Bu şekilde yeri bilinen onemli verileriniz başkaları tarafından çalınabilir. En basitinden cookie leiriniz k şifreli giriş yaptığınız siteler ele gecirilebilir.
Bildiğim kadarı ile henuz Microsoft bu acık icin bir patch yayınlamadı maalesef….
3- %01 karakteri ile url lerin farklı gosterilmesi
Explorerda tıkladığınız linklerin sizi doğru yere gotureceği malum değil. Site domaininden once user@[Only Registered Users Can See Links] (user@[Only Registered Users Can See Links]) şeklinde kullanıcı adı yazmamıza izin veren explorerın bu ozelliği ve %01 karakterinin url ye enjekte edilerek bu karakterden sonrasının adres satırında gizlenmesi birleştirilerek adres satırında gorunenden farklı sitelere yonlendirme yapmak mumkun. Mesela kotu niyetli bir sayfada Microsoft un linkine tıklıyorsunuz. Adres satırınızda [Only Registered Users Can See Links] ([Only Registered Users Can See Links]) yazıyor ama gittiğiniz site esasında başka bir yer… Bunun için de eğlenceli bir ornek hazırladım. Aşağıdaki linkte Microsoft u hacklediğimi idda eden bir link goreceksiniz. Linke bir tıklayın bakalım Microsoft hacklenmiş mi
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Bu taktik kullanılarak tehlikeli işler yapılabilir. Mesela kotu niyetli biri bir banka kullanıcısına o bankadan geliyormuş gibi bir sahte mail atıp bankanın kullanıcı giriş paneline gittiğini idda eden bir link verebilir. Linke tıklayan kişi adres satırında gercekten bankanın domainini ekranda da bankanın kopyası şeklinde hazırlanmış giriş paneli ile karşılaşıp hesap numarası ve şifresini girerek bilgilerini başkalarına teslim edebilir. Bu yontemle kandırılmak gercekten cok kolay cok ceşitli şekillerde olabilir. Aman dikkat…
Maalesef bu açığın da yaması cıkmadı hala..Guvenmediğiniz linklere tıklayarak yonlendirildiğiniz sitelerin gercek olduğuna emin olmayın ve onemli bilgilerinizi girmeyin.
Explorer ın bu 3 orneğin yaptığı işler doğrultusunda, yani istemci tarafında kod calıştırtma, istemcinin verilerini okutma ve site domain yanıltma şeklinde başka acıklarıda mevcut. Ben yamalanmamış en guncel ve tehlikeli olan bu 3 açıktan sizi haberdar etmek istedim. Bunlardan en tehlikeli olan 1. sinin yaması var Microsoft un son guncellemelerinde ama 1. si kadar tehlikeli olmasa da gayet kotu sonuıçlar doğurabilecek diğer iki acık ta yamasız bir şekilde duruyor. Bu acıklardan haberdar ve tedbirli bir şekilde internet gezintilerinimizi yaparsak daha guvende olacaz sanırım. Son soz olarak belki de en iyisi Explorer yerine başka bir browser kullanmak derim
Çoğumuz internette gezinirken bilgisayarlarımıza bulaşan spyware lerden, haberimiz olmadan ana sayfamızın değiştirilmesinden, browserımıza arama motorları eklenmesinden, internetimizin hızının düşmesinden bıkmış durumdayız. Bunlardan daha da kotusu interentte gezinirken onemli kişisel bilgilerimizin, banka hesap numaraları yada şifrelerimizin calınma olasılığıyla beraber yaşıyoruz.
Peki bu istenmeyen durum ve tehlikelerden kurtulmak icin ne yapmak lazım. Birçok yerde bu tarz şeylerden korunmak icin belli başlı programlar onerilir. Maalesef bu programlar, kullanıcı hataları, programların guncelliklerini yitirmeleri veya yetersiz kalmaları yuzunden her zaman iş gormezler. Ben burada program onermek yerine sorunların kaynağı olan başlıca acıklardan ve korunma yontemlerinden bahsetmek istiyorum.
Aslında bu sorunların çoğunun kullandığımız browser dan kaynaklandığını bilmemiz gerek oncelikle. Çoğumuz internette gezinirken browser olarak Internet Explorer ı kullanıyoruz. Ve başımıza gelen bir cok iş bu explorerın acıklarından kaynaklanıyor. Explorer, masum gibi gorunen bir linke tıklayarak yada masum bir maili okumaya kalkışarak bilgisayarımızı başkalarının ellerine teslim etmemizi sağlayabiliyor bazen. Burada Explorer ın en tehlikeli bulduğum acıklarından bahsedecem:
1- "application/hta" MIME türünün bir object tagı ile referans edilmesi durumunda Explorer ın sorgusus script calıştırması:
Bu açık sayesinde kotu niyetli bir site sahibi bilgisayarınızda sorgusuz suhalsiz istediği kodu calıştırtabiliyor. Explorer application/hta türünde gonderilen bir veriyi size sormadan çalıştırabiliyor ve hta scriptleri bilgisayarınıza her turlu işlemi yaptırma yeteneğine sahip scriptler. Aşağıda benim hazırladığım bir ornek link var. Eğer bilgisayarınızda son guncellemeler mevcut değilse linke tıkladıktan sonra bilgisayarınızda zararsız test amaclı olan Radres.exe diye bir uygulama calıştırılacak.
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Eğer bu linke tıkladıktan sonra bilgisayarınızda radres.exe calıştırıldıysa buyuk tehlike altında dolanıyorsunuz internette demektir. Şu an bu açığın patch ini yuklememiş milyonlarca bilgisayar var.
Explorer ın bu açığından kurtulmak istiyorsanız bilgisayarınıza Windows un ve Explorer ın son guncellemelerini yukleyin.
2- MHTML yonlendirmesi ile bilgisayardaki verilerin okutulması
Explorer mhtml dosyaları ile text turu dosyalardan veri okutabiliyor. Bu normalde sunucuda bulunan bir text dosyası oluyor. Ama Explorer ın bir acığı sayesinde gecersiz mhtml dosyaları kullanarak istemcinin bilgisayarındaki text dosyalarını sunucunun okuması mumkun. Aşağıda hazırladığım linkdeki ornek bilgisayarınızın c surucusunde test.txt diye bir text dosyası bulunduğunu farzedip onu okuyan bir html dosyası var. Linki test etmeden once bilgisayarınızın c surucusunde test.txt diye bir dosya oluşturup içine bir şeyler yazın.
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Gordüğünüz gibi ziyaret ettiğiniz siteler bilgisayarınızdaki verileri okuyabiliyor. Bu şekilde yeri bilinen onemli verileriniz başkaları tarafından çalınabilir. En basitinden cookie leiriniz k şifreli giriş yaptığınız siteler ele gecirilebilir.
Bildiğim kadarı ile henuz Microsoft bu acık icin bir patch yayınlamadı maalesef….
3- %01 karakteri ile url lerin farklı gosterilmesi
Explorerda tıkladığınız linklerin sizi doğru yere gotureceği malum değil. Site domaininden once user@[Only Registered Users Can See Links] (user@[Only Registered Users Can See Links]) şeklinde kullanıcı adı yazmamıza izin veren explorerın bu ozelliği ve %01 karakterinin url ye enjekte edilerek bu karakterden sonrasının adres satırında gizlenmesi birleştirilerek adres satırında gorunenden farklı sitelere yonlendirme yapmak mumkun. Mesela kotu niyetli bir sayfada Microsoft un linkine tıklıyorsunuz. Adres satırınızda [Only Registered Users Can See Links] ([Only Registered Users Can See Links]) yazıyor ama gittiğiniz site esasında başka bir yer… Bunun için de eğlenceli bir ornek hazırladım. Aşağıdaki linkte Microsoft u hacklediğimi idda eden bir link goreceksiniz. Linke bir tıklayın bakalım Microsoft hacklenmiş mi
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Bu taktik kullanılarak tehlikeli işler yapılabilir. Mesela kotu niyetli biri bir banka kullanıcısına o bankadan geliyormuş gibi bir sahte mail atıp bankanın kullanıcı giriş paneline gittiğini idda eden bir link verebilir. Linke tıklayan kişi adres satırında gercekten bankanın domainini ekranda da bankanın kopyası şeklinde hazırlanmış giriş paneli ile karşılaşıp hesap numarası ve şifresini girerek bilgilerini başkalarına teslim edebilir. Bu yontemle kandırılmak gercekten cok kolay cok ceşitli şekillerde olabilir. Aman dikkat…
Maalesef bu açığın da yaması cıkmadı hala..Guvenmediğiniz linklere tıklayarak yonlendirildiğiniz sitelerin gercek olduğuna emin olmayın ve onemli bilgilerinizi girmeyin.
Explorer ın bu 3 orneğin yaptığı işler doğrultusunda, yani istemci tarafında kod calıştırtma, istemcinin verilerini okutma ve site domain yanıltma şeklinde başka acıklarıda mevcut. Ben yamalanmamış en guncel ve tehlikeli olan bu 3 açıktan sizi haberdar etmek istedim. Bunlardan en tehlikeli olan 1. sinin yaması var Microsoft un son guncellemelerinde ama 1. si kadar tehlikeli olmasa da gayet kotu sonuıçlar doğurabilecek diğer iki acık ta yamasız bir şekilde duruyor. Bu acıklardan haberdar ve tedbirli bir şekilde internet gezintilerinimizi yaparsak daha guvende olacaz sanırım. Son soz olarak belki de en iyisi Explorer yerine başka bir browser kullanmak derim