Kaspersky uzmanları, Şubat ayında Microsoft Ortak Günlük Dosyası Sistemi ’ndeki Microsoft Common Log File System – CLFS sıfır gün sarihini kullanan bir hamle tekniği keşfetti. Bir siber kabahat grubu, Windows 11 de dahil olmak üzere Windows işletim sisteminin farklı versiyonları ve yapıları için geliştirilen bir sarihi kullanarak Nokoyawa fidye yazılımını dağıtmaya çalıştı. Microsoft bu güvenlik sarihine CVE-2023-28252 ismini verdi ve 11 Nisan yamasının bir parçası oldu. Söz mevzusu tehdit oyuncuyu, Orta Doğu ve Kuzey Amerika ’da ve daha evvel Asya bölgelerinde farklı ufak ve orta ölçekli şirketlere müteveccih hamlelerde eş imtiyaz yükseltme istismarlarını uygulamaya çalışmıştı.
Kaspersky tarafından keşfedilen sarihlerin çoğu gelişmiş tehdit grupları APT ’ler tarafından kullanılırken, yeni sarihin fidye yazılımı hücumları reelleştiren sofistike bir grup tarafından siber kabahat emeliyle kullanıldığı ortaya çıktı. Bu grup, birbirine yakın olsa da her biri eşsiz Ortak Günlük Dosya Sistemi CLFS sarihlerini kullanmasını dikkat topluyor. Kaspersky bu cinsten en az beş farklı sarihle karşılaştı. Bunlar perakende, toptan satış, enerji, yapım, sağlık, yazılım geliştirme ve değişik sektörlere müteveccih hamlelerde kullanıldı.
Microsoft, keşfedilen sıfır gün sarihine CVE-2023-28252 kodunu cetti. Bu, bu alt sistem tarafından kullanılan dosya formatının manipüle edilmesiyle tetiklenen Ortak Günlük Dosya Sistemi imtiyaz yükseltme güvenlik sarihine karşılık geliyor. Kaspersky tahlilcileri, Orta Doğu ve Kuzey Amerika bölgelerindeki farklı ufak ve orta ölçekli şirketlere ait Microsoft Windows sunucularında eş imtiyaz yükseltme sarihlerini çalıştırmaya müteveccih bir dizi teşebbüsle alakalı ek hakimiyetler sırasında, bu sarihi Şubat ayında ortaya çıkardı.
CVE-2023-28252 ilk olarak Kaspersky tarafından siber kabahatlilerin Nokoyawa fidye yazılımının yeni bir versiyonunu dağıtmaya çalıştıkları bir atakta tespit edildi. Klasikte bu fidye yazılımının daha önceki varyantları JSWorm fidye yazılımının yalnızca yine markalanmış hallerinden oluşuyordu. Ancak yukarıyada bahsedilen atakta Nokoyawa varyantı kod tabanı açısından JSWorm ’dan oldukça değişikti.
Saldırganlar CVE-2023-28252 güvenlik sarihini kullanıyor
Atakta kullanılan sarih, Windows 11 dahil olmak üzere Windows işletim sisteminin farklı versiyonlarında ve yapılarında yer alıyor. Saldırganlar, ödünleri yükseltmek ve Güvenlik Hesabı İdareyicisi SAM bilgi tabanından kimlik bilgilerini çalmak için CVE-2023-28252 güvenlik sarihini kullandılar.
Kaspersky Evrensel Araştırma ve Tahlil Takımı GReAT Baş Güvenlik Analisti Boris Larin, şunları söylüyor: “Siber kabahat grupları ataklarında sıfırıncı gün sarihlerini kullanarak giderek daha sofistike hale geliyor. Evvelleri bu Gelişmiş Kalıcı Tehdit oyuncularının APT ’ler kullandığı vasıtalardı. Ancak artık siber kabahatliler sıfırıncı gün sarihlerini elde edecek ve bunları hamlelerde rutin olarak kullanacak kaynaklara sahipler. Ayrıca onlara dayanak etmeye ve üzerinde istismar geliştirmeye istekli geliştirici takımları da mevcut. Şirketlerin Microsoft ’un yayınladığı yamayı olası olan en kısa zamanda indirmeleri ve EDR çözümleri gibi değişik koruma usullerini kullanmaları büyük ehemmiyet taşıyor.”
Kaspersky mahsulleri, yukarıyadaki güvenlik sarihinin ve alakalı makûs emelli yazılımların istismarını tespit edebiliyor ve bunlara karşı koruma sağlıyor.
Securelist ’te bu yeni sıfır gün hakkında daha fazla bilgi edinebilirsiniz. Detaylar Nisan Salı Yaması günü geçtikten dokuz gün sonra paylaşılacak. Böylece işletmelerin sistemlerini yamalamaları için yeterli zamanları olacak.
Kaspersky uzmanları, kuruluşunuzu yukarıyada bahsedilen güvenlik sarihini kullanan ataklardan gözetmek için şunları öneriyor:
Microsoft Windows işletim sistemini olası olan en kısa zamanda aktüelleyin ve bunu kumpaslı olarak yapın İstismar önleyebilen, makûs maksatlı tavır idrak edebilen ve makûs emelli eylemleri geri alabilen bir düzenleme motoru ile desteklenen Kaspersky Endpoint Security for Business gibi emin bir uç nokta güvenlik çözümü kullanın Tehdit bulguyu ve tespiti, soruşturma ve vakaların zamanında düzenlenmesi için marifetler sağlayan anti-APT ve EDR çözümleri kurun. SOC takımınıza en son tehdit istihbaratına ulaşım sağlayın ve onları kumpaslı olarak profesyonel eğitimlerle geliştirin. Yukarıyadakilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur. Uygun uç nokta gözetmesinin yanı gizeme, özel hizmetler yüksek profilli hamlelere karşı takviyeci olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar niyetlerine erişmeden evvel hücumların erken düzeylerinde tespit edilmesine ve durdurulmasına takviyeci olur.
Kaynak: BYZHA Beyaz Haber Ajansı