Bir Hacker, Windows 10’daki Güvenlik Açığını Kullanarak NSA’yı Trolledi

Microsoft, salı günü ABD Ulusal Güvenlik Ajansı (NSA) tarafından keşfedilen kritik Windows 10 güvenlik açığıyla ilgili acil bir güncelleme yayınladı. CVE-2020-0601 kod adlı açık, güvenlik sertifikalarının doğrulanmasıyla ilgiliydi ve tarayıcıların kötü amaçlı web sitelerini güvenli ve şifreli olarak görüntülemesine engel oluyordu.

Güvenlik araştırmacısı Saleem Rashid, bu güvenlik açığından nasıl yararlanılabileceğini göstermek için NSA'yı trollemeye karar verdi. Rashid, Windows 10'daki güvenlik açığını kullanarak, kullanıcıları nsa.gov yerine Rick Astley'in 80'lerdeki popüler hit şarkısı "Never You You You Give Up"ı söylediği klibe yönlendirdi. Rashid, yazılım geliştiricileri arasında popüler olan GitHub web sitesinde de aynı şeyi yaptı.

Rashid, açığı öğrenmesinin ardından hem Chrome hem de Edge tarayıcılarda çalışan bir teknik geliştirdi. Hacker, bu teknikle aracını oluşturmak için sadece 100 satır kod gerektiğini, ancak bazı fonksiyonları kaldırması durumunda sadece 10 satır kodla da yapabileceğini açıkladı. Sertifika doğrulamasının tamamen devre dışı kalmasına neden olan araç, web sitelerini, yazılım güncellemelerini, VPN'leri ve bilgisayar güvenliği için önemli olan çeşitli hizmetleri etkiliyor.

Bir Hacker Grubu, ‘İki Faktörlü Kimlik Doğrulama’ Sistemini Atlatmayı Başardı

NSA, tüm sınırlamalara rağmen, daha karmaşık siber suçluları engellemenin ve açıkların nasıl kullanılacağını anlamanın zaman meselesi olduğunu belirtiyor. Bu nedenle, şimdilik kendinizi korumanın en iyi yolu, Microsoft'un yayınladığı en son Windows 10 güncelleştirmesini yüklemek.

Saleem Rashid, birçok kez ne kadar yetenekli bir güvenlik araştırmacısı olduğunu ispatladı. Rashid daha önce Ledger kripto para cüzdanının nasıl hacklediğini göstermişti. Ayrıca antivirüs şirketi McAfee'nin kurucusu John McAfee tarafından desteklenen ve 'hacklenemez' olarak tanımlanan Bitfi cüzdanının nasıl kolayca saldırıya uğrayabileceğini de ortaya koydu. Şirket bu olaydan sonra, 'hacklenemez' ibaresinin pazarlama materyallerinden kaldırılacağını bildiren bir açıklama yaptı.

Konuyla ilgili olarak yapılan paylaşım şu şekilde;