ReadyorNot
80+ Bronze
- Katılım
- 17 Ocak 2024
- Mesajlar
- 1,188
Dahası
- Reaksiyon skoru
- 391
- İsim
- An10im1i
Yeni Windows sıfır günü 2017'den bu yana 11 devlet hack grubu tarafından istismar edildi
Kuzey Kore, İran, Rusya ve Çin'den en az 11 devlet destekli bilgisayar korsanı grubu, 2017'den bu yana veri hırsızlığı ve siber casusluk sıfırıncı gün saldırılarında yeni bir Windows güvenlik açığından yararlanıyor.
Kuzey Kore, İran, Rusya ve Çin gibi en az 11 devlet destekli bilgisayar korsanı grubu, 2017'den bu yana veri hırsızlığı ve siber casusluk sıfırıncı gün saldırılarında yeni bir Windows güvenlik açığından yararlanıyor.
Ancak Trend Micro'nun Sıfırıncı Gün İnisiyatifi'nden (ZDI) güvenlik araştırmacıları Peter Girnus ve Aliakbar Zahravi'nin bugün bildirdiği üzere, Microsoft Eylül ayı sonunda bu açığı “hizmet çıtasını karşılamıyor” olarak etiketledi ve bu açığı gidermek için güvenlik güncellemeleri yayınlamayacağını söyledi.
“ZDI-CAN-25373'ten yararlanan yaklaşık bin Shell Link (.lnk) örneği keşfettik; ancak toplam yararlanma girişimi sayısının çok daha yüksek olması muhtemeldir” dediler. “Daha sonra, Trend ZDI'ın hata ödül programı aracılığıyla bu güvenlik açığını bir güvenlik yamasıyla ele almayı reddeden Microsoft'a bir kavram kanıtı istismarı sunduk.”
BleepingComputer'ın bugün erken saatlerde ulaştığı bir Microsoft sözcüsü yorum yapmak için müsait değildi.
Microsoft bu güvenlik açığına henüz bir CVE-ID atamamış olsa da, Trend Micro bu açığı dahili olarak ZDI-CAN-25373 olarak takip ediyor ve saldırganların etkilenen Windows sistemlerinde keyfi kod çalıştırmasına olanak tanıdığını söylüyor.
Araştırmacıların ZDI-CAN-25373'ün vahşi kullanımını araştırırken bulduğu üzere, güvenlik açığı Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni ve diğerleri dahil olmak üzere birçok devlet destekli tehdit grubu ve siber suç çetesi tarafından yaygın saldırılarda istismar edilmiştir.
Kampanyalar dünya çapında kurbanları hedef almış olsa da, öncelikle Kuzey Amerika, Güney Amerika, Avrupa, Doğu Asya ve Avustralya'ya odaklanmışlardır. Analiz edilen tüm saldırıların yaklaşık %70'i casusluk ve bilgi hırsızlığı ile bağlantılı iken, yalnızca %20'sinin odak noktası finansal kazanç olmuştur.
Trend Micro, “Ursnif, Gh0st RAT ve Trickbot gibi çeşitli kötü amaçlı yazılım yükleri ve yükleyicileri bu kampanyalarda izlendi ve hizmet olarak kötü amaçlı yazılım (MaaS) platformları tehdit ortamını karmaşıklaştırıyor” diye ekledi.
ZDI-CAN-25373 Windows sıfırıncı gün
Yeni keşfedilen bu Windows güvenlik açığı (ZDI-CAN-25373 olarak izlenir), saldırganların Windows'un kısayol (.lnk) dosyalarını görüntüleme şeklinden yararlanarak algılamadan kaçmasına ve kullanıcının bilgisi olmadan savunmasız cihazlarda kod çalıştırmasına olanak tanıyan Kullanıcı Arayüzü (UI) Kritik Bilgilerin Yanlış Sunumu (CWE-451) zayıflığından kaynaklanır.
Tehdit aktörleri, COMMAND_LINE_ARGUMENTS yapısına eklenen dolgulu boşlukları kullanarak .LNK kısayol dosyalarındaki kötü amaçlı komut satırı bağımsız değişkenlerini gizleyerek ZDI-CAN-25373'ten yararlanır.
Araştırmacılar bu beyaz boşlukların Boşluk (\x20), Yatay Sekme (\x09), Satır Besleme (\x0A), Dikey Sekme (\x0B), Form Besleme (\x0C) ve Satır Başı (\x0D) için dolgu olarak kullanılabilecek onaltılık kodlar şeklinde olabileceğini söylüyor.
Bir Windows kullanıcısı böyle bir .lnk dosyasını incelerse, eklenen boşluklar nedeniyle kötü amaçlı argümanlar Windows kullanıcı arayüzünde görüntülenmez. Sonuç olarak, saldırganlar tarafından eklenen komut satırı argümanları kullanıcının görüşünden gizli kalır.
Bugün yayınlanan bir Trend Micro danışmanlığı, “Hedefin kötü amaçlı bir sayfayı ziyaret etmesi veya kötü amaçlı bir dosyayı açması gerektiğinden, bu güvenlik açığından yararlanmak için kullanıcı etkileşimi gereklidir” açıklamasını yapıyor.
“Bir .LNK dosyasındaki hazırlanmış veriler, dosyadaki tehlikeli içeriğin Windows tarafından sağlanan kullanıcı arayüzü aracılığıyla dosyayı inceleyen bir kullanıcı tarafından görünmez olmasına neden olabilir. Bir saldırgan, mevcut kullanıcı bağlamında kod çalıştırmak için bu güvenlik açığından yararlanabilir.”
Bu güvenlik açığı, tehdit aktörlerinin kötü amaçlı yükleri PDF olarak indirebilen HTA dosyalarını kamufle etmek için 26 kodlanmış braille boşluk karakteri (%E2%A0%80) kullanmasına olanak tanıyan CVE-2024-43461 olarak izlenen başka bir kusura benzemektedir. CVE-2024-43461, Trend Micro Zero Day'de Kıdemli Tehdit Araştırmacısı olan Peter Girnus tarafından bulunmuş ve Eylül 2024 Salı Yaması sırasında Microsoft tarafından yamanmıştır.
Void Banshee APT hack grubu, Kuzey Amerika, Avrupa ve Güneydoğu Asya'daki kuruluşlara karşı kampanyalarda bilgi çalan kötü amaçlı yazılımları dağıtmak için sıfır gün saldırılarında CVE-2024-43461'den yararlandı.
Güncelleme 18 Mart, 13:46 EDT: Bir Microsoft sözcüsü, yayın saatinden sonra aşağıdaki açıklamayı gönderdi ve şirketin gelecekte açığı ele almayı düşündüğünü söyledi:
ZDI'ın koordineli bir güvenlik açığı ifşası kapsamında bu raporu sunma konusundaki çalışmalarını takdir ediyoruz. Microsoft Defender, bu tehdit faaliyetini tespit etmek ve engellemek için tespitlere sahiptir ve Akıllı Uygulama Denetimi, İnternet'ten gelen kötü amaçlı dosyaları engelleyerek ekstra bir koruma katmanı sağlar. En iyi güvenlik uygulaması olarak müşterilerimizi, potansiyel olarak zararlı dosyaları tanımak ve kullanıcıları bu dosyalar hakkında uyarmak için tasarlanmış güvenlik uyarılarında belirtildiği gibi bilinmeyen kaynaklardan dosya indirirken dikkatli olmaya teşvik ediyoruz. Raporda açıklanan kullanıcı arayüzü deneyimi, önem derecesi sınıflandırma yönergelerimiz kapsamında acil servis çıtasını karşılamasa da, gelecekteki bir özellik sürümünde ele almayı düşüneceğiz.
k: bleepingcomputer
Kuzey Kore, İran, Rusya ve Çin'den en az 11 devlet destekli bilgisayar korsanı grubu, 2017'den bu yana veri hırsızlığı ve siber casusluk sıfırıncı gün saldırılarında yeni bir Windows güvenlik açığından yararlanıyor.
Kuzey Kore, İran, Rusya ve Çin gibi en az 11 devlet destekli bilgisayar korsanı grubu, 2017'den bu yana veri hırsızlığı ve siber casusluk sıfırıncı gün saldırılarında yeni bir Windows güvenlik açığından yararlanıyor.
Ancak Trend Micro'nun Sıfırıncı Gün İnisiyatifi'nden (ZDI) güvenlik araştırmacıları Peter Girnus ve Aliakbar Zahravi'nin bugün bildirdiği üzere, Microsoft Eylül ayı sonunda bu açığı “hizmet çıtasını karşılamıyor” olarak etiketledi ve bu açığı gidermek için güvenlik güncellemeleri yayınlamayacağını söyledi.
“ZDI-CAN-25373'ten yararlanan yaklaşık bin Shell Link (.lnk) örneği keşfettik; ancak toplam yararlanma girişimi sayısının çok daha yüksek olması muhtemeldir” dediler. “Daha sonra, Trend ZDI'ın hata ödül programı aracılığıyla bu güvenlik açığını bir güvenlik yamasıyla ele almayı reddeden Microsoft'a bir kavram kanıtı istismarı sunduk.”
BleepingComputer'ın bugün erken saatlerde ulaştığı bir Microsoft sözcüsü yorum yapmak için müsait değildi.
Microsoft bu güvenlik açığına henüz bir CVE-ID atamamış olsa da, Trend Micro bu açığı dahili olarak ZDI-CAN-25373 olarak takip ediyor ve saldırganların etkilenen Windows sistemlerinde keyfi kod çalıştırmasına olanak tanıdığını söylüyor.
Araştırmacıların ZDI-CAN-25373'ün vahşi kullanımını araştırırken bulduğu üzere, güvenlik açığı Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni ve diğerleri dahil olmak üzere birçok devlet destekli tehdit grubu ve siber suç çetesi tarafından yaygın saldırılarda istismar edilmiştir.
Kampanyalar dünya çapında kurbanları hedef almış olsa da, öncelikle Kuzey Amerika, Güney Amerika, Avrupa, Doğu Asya ve Avustralya'ya odaklanmışlardır. Analiz edilen tüm saldırıların yaklaşık %70'i casusluk ve bilgi hırsızlığı ile bağlantılı iken, yalnızca %20'sinin odak noktası finansal kazanç olmuştur.
Trend Micro, “Ursnif, Gh0st RAT ve Trickbot gibi çeşitli kötü amaçlı yazılım yükleri ve yükleyicileri bu kampanyalarda izlendi ve hizmet olarak kötü amaçlı yazılım (MaaS) platformları tehdit ortamını karmaşıklaştırıyor” diye ekledi.
ZDI-CAN-25373 Windows sıfırıncı gün
Yeni keşfedilen bu Windows güvenlik açığı (ZDI-CAN-25373 olarak izlenir), saldırganların Windows'un kısayol (.lnk) dosyalarını görüntüleme şeklinden yararlanarak algılamadan kaçmasına ve kullanıcının bilgisi olmadan savunmasız cihazlarda kod çalıştırmasına olanak tanıyan Kullanıcı Arayüzü (UI) Kritik Bilgilerin Yanlış Sunumu (CWE-451) zayıflığından kaynaklanır.
Tehdit aktörleri, COMMAND_LINE_ARGUMENTS yapısına eklenen dolgulu boşlukları kullanarak .LNK kısayol dosyalarındaki kötü amaçlı komut satırı bağımsız değişkenlerini gizleyerek ZDI-CAN-25373'ten yararlanır.
Araştırmacılar bu beyaz boşlukların Boşluk (\x20), Yatay Sekme (\x09), Satır Besleme (\x0A), Dikey Sekme (\x0B), Form Besleme (\x0C) ve Satır Başı (\x0D) için dolgu olarak kullanılabilecek onaltılık kodlar şeklinde olabileceğini söylüyor.
Bir Windows kullanıcısı böyle bir .lnk dosyasını incelerse, eklenen boşluklar nedeniyle kötü amaçlı argümanlar Windows kullanıcı arayüzünde görüntülenmez. Sonuç olarak, saldırganlar tarafından eklenen komut satırı argümanları kullanıcının görüşünden gizli kalır.
Bugün yayınlanan bir Trend Micro danışmanlığı, “Hedefin kötü amaçlı bir sayfayı ziyaret etmesi veya kötü amaçlı bir dosyayı açması gerektiğinden, bu güvenlik açığından yararlanmak için kullanıcı etkileşimi gereklidir” açıklamasını yapıyor.
“Bir .LNK dosyasındaki hazırlanmış veriler, dosyadaki tehlikeli içeriğin Windows tarafından sağlanan kullanıcı arayüzü aracılığıyla dosyayı inceleyen bir kullanıcı tarafından görünmez olmasına neden olabilir. Bir saldırgan, mevcut kullanıcı bağlamında kod çalıştırmak için bu güvenlik açığından yararlanabilir.”
Bu güvenlik açığı, tehdit aktörlerinin kötü amaçlı yükleri PDF olarak indirebilen HTA dosyalarını kamufle etmek için 26 kodlanmış braille boşluk karakteri (%E2%A0%80) kullanmasına olanak tanıyan CVE-2024-43461 olarak izlenen başka bir kusura benzemektedir. CVE-2024-43461, Trend Micro Zero Day'de Kıdemli Tehdit Araştırmacısı olan Peter Girnus tarafından bulunmuş ve Eylül 2024 Salı Yaması sırasında Microsoft tarafından yamanmıştır.
Void Banshee APT hack grubu, Kuzey Amerika, Avrupa ve Güneydoğu Asya'daki kuruluşlara karşı kampanyalarda bilgi çalan kötü amaçlı yazılımları dağıtmak için sıfır gün saldırılarında CVE-2024-43461'den yararlandı.
Güncelleme 18 Mart, 13:46 EDT: Bir Microsoft sözcüsü, yayın saatinden sonra aşağıdaki açıklamayı gönderdi ve şirketin gelecekte açığı ele almayı düşündüğünü söyledi:
ZDI'ın koordineli bir güvenlik açığı ifşası kapsamında bu raporu sunma konusundaki çalışmalarını takdir ediyoruz. Microsoft Defender, bu tehdit faaliyetini tespit etmek ve engellemek için tespitlere sahiptir ve Akıllı Uygulama Denetimi, İnternet'ten gelen kötü amaçlı dosyaları engelleyerek ekstra bir koruma katmanı sağlar. En iyi güvenlik uygulaması olarak müşterilerimizi, potansiyel olarak zararlı dosyaları tanımak ve kullanıcıları bu dosyalar hakkında uyarmak için tasarlanmış güvenlik uyarılarında belirtildiği gibi bilinmeyen kaynaklardan dosya indirirken dikkatli olmaya teşvik ediyoruz. Raporda açıklanan kullanıcı arayüzü deneyimi, önem derecesi sınıflandırma yönergelerimiz kapsamında acil servis çıtasını karşılamasa da, gelecekteki bir özellik sürümünde ele almayı düşüneceğiz.
k: bleepingcomputer
