Google, Milyonları Etkileyen Chromium İstismar Kodunu Yayımladı

Google Çarşamba günü Chromium tarayıcı kod tabanında bulunan kritik, yama yapılmamış bir güvenlik açığına yönelik yararlanma kodunu yayınlamak gibi tartışmalı bir adım attı. Bu ifşa, Chrome, Microsoft Edge ve Chromium platformu üzerine kurulu diğer birçok tarayıcıya güvenen milyonlarca kişi için önemli güvenlik tehditleri oluşturmaktadır. Düzeltilmemiş bir kusur için kavram kanıtı kodunu yayınlama kararı, siber güvenlik topluluğu içinde sorumlu açıklama uygulamaları ve şeffaflık ile kullanıcı güvenliği arasındaki denge konusunda önemli tartışmalara yol açtı.

Güvenlik açığı özellikle, genişletilmiş videolar ve önemli veri paketleri gibi büyük dosyaların kullanıcı deneyimini kesintiye uğratmadan arka planda sorunsuz bir şekilde indirilmesini kolaylaştırmak için tasarlanmış temel bir web standardı olan Tarayıcı Getirme programlama arayüzünü hedef alıyor. Kötü niyetli aktörler, kullanıcının tarama kalıplarının ve etkinlik günlüklerinin kapsamlı bir şekilde izlenmesine olanak tanıyan kalıcı bağlantılar kurmak için bu istismarı silah olarak kullanabilir. Saldırganlar, gözetim yeteneklerinin ötesinde, güvenliği ihlal edilmiş tarayıcıları kısıtlanmış içeriğe erişim için proxy olarak yeniden kullanabilir, hedef altyapıya karşı yıkıcı hizmet reddi saldırıları başlatırken gerçek konumlarını ve kimliklerini maskeleyebilirler.

Bu kötü amaçlı bağlantıların devam etmesi, bu güvenlik açığının özellikle endişe verici bir yönünü temsil ediyor. Belirli tarayıcı uygulamasına bağlı olarak, bu bağlantılar ya otomatik olarak kendilerini yeniden kurarlar ya da tarayıcı uygulaması kapandıktan ya da temel cihaz sistem tamamen yeniden başlatıldıktan sonra bile sürekli olarak etkin kalırlar. Bu, bir cihazın güvenliği ihlal edildiğinde saldırganın, otomatik yeniden bağlanma mekanizmaları yoluyla yasa dışı erişimini sürdürdüğü ve kullanıcı tarafından başlatılan standart kapatma prosedürlerinden sağ çıkabilen kalıcı bir arka kapı oluşturduğu anlamına gelir.

Düzeltilmemiş güvenlik açığı şaşırtıcı bir şekilde 29 ay boyunca çözülmeden kaldı ve kalıcı bir yama olmadan devam ediyor. Bu genişletilmiş güvenlik açığı penceresi sırasında, şüphelenmeyen bir kullanıcının ziyaret ettiği herhangi bir web sitesi, bu kusurdan yararlanma potansiyeline sahiptir. Saldırı yüzeyi son derece geniştir çünkü kullanıcıların hangi web sitelerinin bu güvenlik açığından yararlanmaya çalışan kötü amaçlı kod barındırdığını belirlemenin pratik bir yolu yoktur. Bu evrensel erişilebilirlik, saygın web sitelerinin bile çeşitli saldırı vektörleri aracılığıyla tehlikeye girebileceği ve ziyaretçilerine bilmeden kötü amaçlı kod sunabileceği anlamına gelir.

Başarılı bir şekilde yararlanıldığında, bu güvenlik açığı, virüs bulaşmış bir cihazı, sınırlı bir botnet düğümüne, yani sahibinin bilgisi veya izni olmadan, kontrol edilen cihazlardan oluşan daha büyük bir ağa sessizce katılan, güvenliği ihlal edilmiş bir bilgisayara dönüştürür. Ancak saldırı yetenekleri, bir web tarayıcısının yasal olarak gerçekleştirebileceği şeylerle sınırlıdır. Saldırganlar, ele geçirilen tarayıcıyı kötü amaçlı web sitelerini ziyaret etmeye, kullanıcı kimlik bilgilerini toplamaya, faaliyetlerini gizlemek isteyen diğer tehdit aktörleri için anonim proxy taramayı etkinleştirmeye ve belirli hedeflere binlerce bilinmeyen katılımcıdan gelen trafikle akın ederek koordineli DDoS saldırıları düzenlemeye yönlendirebilir.

Yaygın istismarın sonuçları gerçekten endişe verici. Kararlı bir tehdit aktörü potansiyel olarak binlerce, hatta milyonlarca cihazı botnet altyapısına dahil edebilir. Güvenliği ihlal edilen her tarayıcı, devasa bir saldırı ağında farkında olmadan bir piyadeye dönüşür. Bireysel tarayıcı düzeyindeki saldırıların kapsamı sınırlı olsa da milyonlarca koordineli cihazın toplam etkisi, kritik altyapıya, finansal sistemlere ve temel hizmetlere yönelik yıkıcı saldırıları kolaylaştırabilir. Saldırgan esasen, tehlikeye atılmış kaynaklardan oluşan ucuz, ölçeklenebilir bir ordu kazanır.

Belki de en sıkıntılı durum, gerilimi artırmanın kabul edilen yoludur. Güvenlik araştırmacıları, bir saldırganın bu tarayıcı tabanlı arka kapıyı çok sayıda cihazda başarıyla kurduğunda, tarayıcı sanal alanından çıkmak ve sistem düzeyinde tam erişim elde etmek için tamamen ayrı, ilgisiz bir güvenlik açığını silah haline getirebileceğini öne sürdü. Bu iki aşamalı saldırı yaklaşımı, saldırganların tarayıcı düzeyindeki sınırlı güvenlik ihlallerini cihazı tamamen ele geçirmeye dönüştürmesine olanak tanıyacak. Bu tür bir yükseltme saldırısı için fırsat penceresi, birincil güvenlik açığına yama uygulanmadığı ve sistemin genelinde istismar edilebilecek diğer güvenlik açıkları mevcut olduğu sürece mevcuttur.

Chromium platformunun modern tarayıcı ekosisteminde her yerde bulunması, potansiyel etkiyi katlanarak artırıyor. Google'ın Chrome tarayıcısının ötesinde, Microsoft Edge, Opera, Brave dahil çok sayıda diğer tarayıcı ve çok sayıda kurumsal odaklı tarayıcının tümü Chromium kod tabanını kullanır. Bu, çekirdek kod tabanındaki tek bir güvenlik açığının, tüm bu farklı tarayıcı uygulamalarındaki kullanıcıları potansiyel olarak etkileyebileceği anlamına gelir. Paylaşılan kod tabanı, muazzam bir küresel kullanıcı popülasyonunu etkileyen birleşik bir hata noktası oluşturur.

Google'ın yama uygulanmamış bir güvenlik açığına yönelik yararlanma kodunu yayınlama kararı, güvenlik topluluğu içinde ciddi bir gerilim yarattı. Bazıları, kamuya açıklamanın üreticileri ve bakımcıları düzeltmelere öncelik vermeye zorladığını ve güvenlik yaması sürecini hızlandırdığını ileri sürüyor. Diğerleri, kullanıcılar koruyucu yamalara sahip olmadan önce çalışır durumdaki yararlanma kodunu yayınlamanın, yaygın suiistimal olasılığını önemli ölçüde artırdığını iddia ediyor. Şirketin bu açıklama yaklaşımının gerekçesi ve etkilenen tüm platformlarda koruyucu önlemlerin geliştirilmesi ve uygulanmasına yönelik zaman çizelgesi, güvenlik uzmanları arasında yoğun inceleme ve tartışma konusu olmaya devam ediyor.

Kullanıcılar, belirli tarayıcıları ve sürümleri koruyucu bir yamayla güncellenmediği sürece şu anda savunmasız durumda olmaya devam ediyor. Ancak tarayıcı güncellemelerinin farklı platformlara, üreticilere ve kullanıcı gruplarına dağıtılmış yapısı, tam korumanın muhtemelen daha uzun bir zaman çizelgesi gerektireceği anlamına geliyor. Daha eski cihazlara, güncelleştirilmemiş sistemlere veya kurumsal olarak yönetilen cihazlara sahip bazı kullanıcılar, çok daha uzun süre savunmasız kalabilir. Bu, fırsatçı saldırganların bu güvenlik açığından aktif olarak yararlanarak cihazların güvenliğini ihlal edebileceği ve onları botnet ağlarına dahil edebileceği kalıcı bir maruz kalma penceresi oluşturur.