Hedefli saldırılar: Kaspersky, Windows işletim sisteminde ve Internet Explorer'da sıfırıncı gün açıklarını tespit eder. Açıkların arkasında APT aktörü DarkHotel olabilir.
2020 baharının sonlarında Kaspersky'nin otomatik algılama teknolojileri, Güney Koreli bir şirkete yönelik hedefli bir saldırıyı önledi. Kaspersky araştırmacıları saldırıyı daha yakından incelerken önceden bilinmeyen iki güvenlik açığı buldu: Internet Explorer 11'de yabancı kod yürütmek için bir açık ve Windows 10'un güncel sürümlerinde daha yüksek erişim hakları elde etmek için bir Ayrıcalıklar Yükseltmesi (EoP) istismarı. Her ikisi için yamalar istismarlar zaten serbest bırakıldı.
Sıfır gün güvenlik açıkları, önceden bilinmeyen yazılım hatalarıdır. Saldırganlar keşfedilene kadar bunları sessizce kötü amaçlı faaliyetler için kullanabilir ve ciddi zararlara neden olabilir.
Windows işletim sisteminde yararlanma
Kaspersky araştırmacıları, Kore'de hedeflenen bir saldırıyı araştırırken iki sıfır gün güvenlik açığı keşfetti. Internet Explorer için ilk "ücretsiz kullan" istismarı, yabancı kodu uzaktan yürütebilir ve CVE-2020-1380 olarak adlandırılmıştır. Ancak Internet Explorer yalıtılmış bir ortamda çalıştığı için saldırganların virüs bulaşan cihazlar üzerinde ek haklara ihtiyacı vardı. Bunu Windows işletim sistemindeki ikinci bir istismar yoluyla aldılar. Açıklardan yararlanma, yazıcı hizmetindeki bir güvenlik açığından yararlandı ve rasgele kod yürütülmesine izin verdi. İşletim sistemindeki istismara CVE-2020-0986 adı verilir.
Kaspersky güvenlik uzmanı Boris Larin, "Sıfır gün güvenlik açıklarına sahip gerçek saldırılar, siber güvenlik sahnesinde her zaman büyük ilgi çekmiştir" diye açıklıyor. “Bu tür güvenlik açıklarının başarılı bir şekilde keşfedilmesi, satıcılar üzerinde yamaları hemen yayınlamaları için baskı oluşturuyor ve kullanıcıları gerekli güncellemeleri yüklemeye zorluyor. Keşfedilen saldırı hakkında özellikle ilginç olan şey, önceki istismarların esas olarak daha yüksek ayrıcalıklar elde etmekle ilgili olmasıdır. Ancak bu durum, uzaktan kod yürütme özelliklerine sahip bir açıktan yararlanmayı içerir ve bu da onu daha tehlikeli hale getirir. En son Windows 10 yapılarını etkileme yeteneğinin yanı sıra, tespit edilen saldırı bugünlerde gerçekten nadir görülen bir şey. En son sıfır gün tehditlerini aktif olarak tespit etmek için üstün tehdit istihbaratına ve kanıtlanmış koruma teknolojilerine yatırım yapmamızı bize hatırlatmalıdır.”
Sıfır gün açıklarının arkasında DarkHotel grubu mu var?
Kaspersky uzmanları, yeni açığın DarkHotel tarafından gerçekleştirilen önceki saldırılarla bazı benzerlikleri olduğundan, saldırının arkasında DarkHotel grubunun olabileceğinden şüpheleniyor. Kaspersky Tehdit İstihbarat Portalı, dosya karmaları ve C&C sunucuları dahil olmak üzere bu grubun IoC'si (Uzlaşma Göstergeleri) hakkında ayrıntılı bilgi sağlar. Kaspersky çözümleri, açıkları PDM:Exploit.Win32.Generic olarak algılar.
Haklarla ilgili güvenlik açığı CVE-2020-0986 için yama 9 Haziran 2020'de, yabancı kodun (CVE-2020-1380) çalıştırılması için olan yama ise 11 Ağustos 2020'de yayınlandı.
Kaspersky Güvenlik Önerileri
- Saldırganlar artık keşfedilen bu güvenlik açıklarından yararlanamayacakları için Microsoft yamaları mümkün olan en kısa sürede kurulmalıdır.
- SOC ekiplerinin güncel tehdit istihbaratına erişimi olmalıdır. Kaspersky Tehdit İstihbarat Portalı, tek adres olarak hizmet verebilir. Kaspersky'nin 20 yılı aşkın bir süredir biriktirdiği siber saldırılar ve içgörüler hakkında kapsamlı veriler sağlar.
- Kaspersky Endpoint Detection and Response gibi EDR çözümleri, uç nokta olaylarının tespit edilmesine, araştırılmasına ve hızla çözülmesine yardımcı olur.
- Ayrıca şirketler, Kaspersky Anti Targeted Attack Platform gibi karmaşık tehditleri erken aşamalarda ağ düzeyinde tespit eden güvenlik çözümleri kullanmalıdır.
Bu yeni keşfedilen istismarlar hakkında daha fazla bilgi İngilizce bir rapor olarak mevcuttur.
Kaspersky.com'daki SecureList'te bununla ilgili daha fazla bilgi
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi