Windows'a yönelik hedefli saldırılarda kullanılan sıfır gün açığı keşfedildi

Güncelleme Tarihi:

Windowsa yönelik hedefli saldırılarda kullanılan sıfır gün açığı keşfedildi
Oluşturulma Tarihi: Ağustos 13, 2020 11:49

Bu ilkbaharın sonlarında siber güvenlik uzmanları, Güney Koreli bir şirkete yönelik düzenlenen bir hedefli saldırıyı engelledi. Yapılan analizler, saldırının daha önceden bilinmeyen iki sıfır gün açığından yararlandığını ortaya koydu. Bunlardan biri Internet Explorer 11’de uzaktan kod çalıştırmayı sağlarken diğeri ise Windows’ta yetki artışı imkanı veriyordu. İkinci açık Windows 10’un en son sürümlerini hedef alıyordu.

Haberin Devamı

Daha önceden bilinmeyen yazılım hatalarına sıfır gün açığı adı veriliyor. Bu açıklar keşfedildiğinde ciddi ve beklenmedik zararlar verilebilen kötü amaçlı faaliyetler gizlice yürütülebiliyor.

Kaspersky araştırmacıları yukarıda bahsedilen saldırıyı incelerken iki adet sıfır gün açığı tespit etti. Internet Explorer’daki açık uzaktan kod çalıştırma imkanı sunuyordu. Bu açığa CVE-2020-1380 kodu verildi. 

Ancak, Internet Explorer izole bir ortamda kullanıldığından saldırganlar makinede daha fazla yetkiye ihtiyaç duyuyordu. Bu yüzden, Windows’un yazıcı hizmetinde bulunan diğer açıktan yararlandılar. Bu açık, saldırganların hedef bilgisayarda istediği kodu çalıştırmasına olanak veriyordu. Yetki artışı sağlayan bu açığa CVE-2020-0986 kodu verildi. 

Kaspersky Güvenlik Uzmanı Boris Larin, “Sıfır gün açıklarından yararlanılarak gerçekleştirilen saldırılar siber güvenlik dünyası için büyük önem taşıyor. Bu açıkların tespit edilmesi, markaları hızla bir yama çıkarmaya ve kullanıcıları gerekli tüm güncellemeleri yapmaya zorluyor. Daha önce tespit edilen açıklar genellikle yetki artışı ile ilgili oluyordu. Bu saldırıda ise ilginç bir durum görüldü. Bu vakada tespit edilen açıklardan biri çok daha tehlikeli sonuçlar doğurabilecek uzaktan kod çalıştırma imkanı sunuyordu. En son Windows 10 sürümlerinde bile yer alan bu açık, son dönemlerde pek görülmeyen türdendi. Keşfedilen bu açıklar, sağlam tehdit istihbaratına ve başarısı kanıtlanmış güvenlik teknolojilerine yatırım yapmanın sıfır gün tehditlerine karşı proaktif koruma için ne kadar önemli olduğunu bir kez daha hatırlattı.” dedi. 

Haberin Devamı

Siber güvenlik uzmanları, yeni keşfedilen ve eski açıklardaki ufak benzerlikler nedeniyle bu saldırının DarkHotel grubu ile ilişkili olabileceğini düşünüyor.  

Güvenlik çözümleri, bu açıklardan faydalanmaya çalışan zararlı yazılımı PDM:Exploit.Win32.Generic adıyla tespit ediyor. 

Yetki artışı için kullanılan CVE-2020-0986 açığı için yama 9 Haziran 2020 tarihinde yayınlandı.

Uzaktan kod çalıştırma için kullanılan CVE-2020-1380 açığı için yama 11 Ağustos 2020 tarihinde yayınlandı. 

Haberin Devamı

Uzmanlar, bu tehditten korunmak isteyenlere şu güvenlik önlemlerini almalarını tavsiye ediyor:

Microsoft’un bu yeni açıklar için yayınladığı yamaları hemen kurun. Yamaları kurduğunuzda tehdit aktörleri bu açıktan yararlanamayacak.

Güvenlik operasyonları ekibinizin en son tehdit istihbaratına erişmesini sağlayın. 

Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için bir uç nokta tespit ve müdahale çözümü kullanın.

Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden kurumsal sınıf bir güvenlik çözümü kullanın.

Haberle ilgili daha fazlası:

BAKMADAN GEÇME!