Güncelleme Tarihi:
Daha önceden bilinmeyen yazılım hatalarına sıfır gün açığı adı veriliyor. Bu açıklar keşfedildiğinde ciddi ve beklenmedik zararlar verilebilen kötü amaçlı faaliyetler gizlice yürütülebiliyor.
Kaspersky araştırmacıları yukarıda bahsedilen saldırıyı incelerken iki adet sıfır gün açığı tespit etti. Internet Explorer’daki açık uzaktan kod çalıştırma imkanı sunuyordu. Bu açığa CVE-2020-1380 kodu verildi.
Ancak, Internet Explorer izole bir ortamda kullanıldığından saldırganlar makinede daha fazla yetkiye ihtiyaç duyuyordu. Bu yüzden, Windows’un yazıcı hizmetinde bulunan diğer açıktan yararlandılar. Bu açık, saldırganların hedef bilgisayarda istediği kodu çalıştırmasına olanak veriyordu. Yetki artışı sağlayan bu açığa CVE-2020-0986 kodu verildi.
Kaspersky Güvenlik Uzmanı Boris Larin, “Sıfır gün açıklarından yararlanılarak gerçekleştirilen saldırılar siber güvenlik dünyası için büyük önem taşıyor. Bu açıkların tespit edilmesi, markaları hızla bir yama çıkarmaya ve kullanıcıları gerekli tüm güncellemeleri yapmaya zorluyor. Daha önce tespit edilen açıklar genellikle yetki artışı ile ilgili oluyordu. Bu saldırıda ise ilginç bir durum görüldü. Bu vakada tespit edilen açıklardan biri çok daha tehlikeli sonuçlar doğurabilecek uzaktan kod çalıştırma imkanı sunuyordu. En son Windows 10 sürümlerinde bile yer alan bu açık, son dönemlerde pek görülmeyen türdendi. Keşfedilen bu açıklar, sağlam tehdit istihbaratına ve başarısı kanıtlanmış güvenlik teknolojilerine yatırım yapmanın sıfır gün tehditlerine karşı proaktif koruma için ne kadar önemli olduğunu bir kez daha hatırlattı.” dedi.
Siber güvenlik uzmanları, yeni keşfedilen ve eski açıklardaki ufak benzerlikler nedeniyle bu saldırının DarkHotel grubu ile ilişkili olabileceğini düşünüyor.
Güvenlik çözümleri, bu açıklardan faydalanmaya çalışan zararlı yazılımı PDM:Exploit.Win32.Generic adıyla tespit ediyor.
Yetki artışı için kullanılan CVE-2020-0986 açığı için yama 9 Haziran 2020 tarihinde yayınlandı.
Uzaktan kod çalıştırma için kullanılan CVE-2020-1380 açığı için yama 11 Ağustos 2020 tarihinde yayınlandı.
Uzmanlar, bu tehditten korunmak isteyenlere şu güvenlik önlemlerini almalarını tavsiye ediyor:
Microsoft’un bu yeni açıklar için yayınladığı yamaları hemen kurun. Yamaları kurduğunuzda tehdit aktörleri bu açıktan yararlanamayacak.
Güvenlik operasyonları ekibinizin en son tehdit istihbaratına erişmesini sağlayın.
Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için bir uç nokta tespit ve müdahale çözümü kullanın.
Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden kurumsal sınıf bir güvenlik çözümü kullanın.