Nisan ayında Kaspersky uzmanları, Google Chrome ve Microsoft Windows için daha önce keşfedilmemiş sıfır günleri kullanan birkaç şirkete yönelik açıklardan yararlanan bir dizi yüksek düzeyde hedefli siber saldırıyı ortaya çıkardı. Yeni tehdit aktörü PuzzleMaker iş başında.
Kaspersky şu ana kadar bilinen tehdit aktörlerine bağlanamadı, bu nedenle bu yeni tehdit aktörüne PuzzleMaker adını veriyor. Açıklardan biri, Chrome web tarayıcısında uzaktan kod yürütmek için kullanıldı, diğeri ayrıcalık yükseltmek için kullanıldı ve Windows 10'un en son ve en popüler yapılarını hedef aldı. İkincisi, Microsoft Windows işletim sistemi çekirdeğindeki iki güvenlik açığından yararlanır: CVE-2021-31955 güvenlik açığı ve CVE-2021-31956 ayrıcalık yükselmesi güvenlik açığı. Microsoft, Salı Yaması'nın bir parçası olarak dün akşam her ikisini de yamaladı.
Zero Day Puzzle Maker
Geçtiğimiz birkaç ay içinde, sıfır günden yararlanan bir dizi gelişmiş tehdit faaliyeti gerçekleştirildi. Nisan ayının ortalarında Kaspersky uzmanları, birden fazla şirkete yönelik, saldırganların hedeflenen ağları gizlice tehlikeye atabilecekleri, yüksek oranda hedeflenmiş yeni bir istismar saldırıları dalgası keşfetti. Tüm saldırılar Chrome aracılığıyla gerçekleştirildi ve uzaktan kod yürütülmesine izin veren bir istismar kullanıldı.
Kaspersky araştırmacıları, uzaktan yürütme açığının kodunu elde edemedi, ancak zamanlama ve kullanılabilirlik, saldırganların şu anda yamalanmış olan CVE-2021-21224 güvenlik açığından yararlandığını gösteriyor. Bu, Chrome ve Chromium web tarayıcıları tarafından kullanılan bir JavaScript motoru olan V8'deki bir tür uyuşmazlığı hatasıyla ilgilidir. Bu, tehdit aktörlerinin, bir kullanıcının sekmesinde olanlardan sorumlu olan Chrome işleyici sürecinden yararlanmasına izin verdi.
Microsoft Windows çekirdeğindeki iki güvenlik açığı
Ancak Kaspersky uzmanları, ikinci açığı tespit edip analiz edebildi. Bu, Microsoft Windows işletim sistemi çekirdeğindeki iki güvenlik açığından yararlanan bir Ayrıcalık Yükselmesi istismarıdır. İlki, hassas çekirdek bilgilerini sızdıran CVE-2021-31955 adlı bir bilginin açığa çıkması güvenlik açığıdır. Güvenlik açığı, ilk olarak Windows Vista'da sunulan ve sık kullanılan uygulamaları belleğe önceden yükleyerek yazılım yükleme sürelerini azaltmak için tasarlanmış bir özellik olan SuperFetch ile ilgilidir.
İkincisi, saldırganların çekirdeği tehlikeye atmasına ve bilgisayara yükseltilmiş erişim elde etmesine olanak tanıyan bir ayrıcalık yükselmesi güvenlik açığıdır. CVE-2021-31956 atamasına sahiptir ve yığın tabanlı bir arabellek taşmasıdır. Saldırganlar, bellekte rasgele okuma ve yazma ilkelleri oluşturmak ve sistem ayrıcalıklarıyla kötü amaçlı yazılım modüllerini çalıştırmak için Windows Bildirim Aracı (WNF) ile birlikte CVE-2021-31956 güvenlik açığını kullandı.
Kötü amaçlı yazılım damlatıcı, uzak kabuk modülünü yeniden yükler
Saldırganlar, hedef sistemde bir yer edinmek için hem Chrome hem de Windows açıklarını kullandıktan sonra, hazırlama modülü uzak bir sunucudan daha karmaşık bir kötü amaçlı yazılım damlatıcısı indirir ve çalıştırır. Bu, daha sonra yasal Microsoft Windows işletim sistemi dosyaları gibi görünen iki yürütülebilir dosyayı yükler. Bu iki yürütülebilir dosyadan ikincisi, dosyaları indirip karşıya yükleyebilen, süreçler oluşturabilen, belirli bir süre boyunca etkin olmayan ve kendisini virüslü sistemden silebilen bir uzak kabuk modülüdür. Microsoft, Salı Yaması'nın bir parçası olarak her iki Windows güvenlik açığı için bir yama yayımladı.
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi