Windows işletim sistemi için yeni bir sıfır gün açığı bulundu
2021 yazının sonlarında Kaspersky'nin otomatik algılama teknolojileri, birden çok Microsoft Windows sunucusunda ayrıcalık yükseltmesi kullanan bir dizi saldırıyı engelledi. Saldırıyı daha yakından inceleyen araştırmacılar, yeni bir sıfır gün açığı keşfetti.
Yılın ilk yarısı boyunca Kaspersky uzmanları, sıfır gün açıklarını kullanan saldırılarda artış gözlemledi. Sıfır gün Güvenlik açığı, satıcının farkına varmadan önce saldırganlar tarafından keşfedilen bilinmeyen bir yazılım hatasıdır. Satıcılar henüz farkında olmadığından sıfırıncı gün güvenlik açıkları için hiçbir yama mevcut değildir ve bu da saldırıların beklenmedik ölçüde başarılı olmasına neden olur.
Uzmanlar, birden çok Microsoft Windows sunucusunda ayrıcalık yükseltmesi kullanan bir dizi saldırı tespit etti. Bu güvenlik açığı, CVE-2016-3309 güvenlik açığı için genel olarak bilinen eski bir istismara ait birçok hata ayıklama dizesine sahipti. Ancak daha yakından yapılan analizler, araştırmacıların yeni bir sıfır gün açığı keşfettiğini ortaya çıkardı. Araştırmacılar bu etkinlik kümesine MysterySnail adını verdi.
Komuta ve Kontrol (C&C) altyapısıyla keşfedilen kod benzerliği ve yeniden kullanımı, araştırmacıları bu saldırıları kötü şöhretli IronHusky grubuyla ve 2012 yılına dayanan Çince konuşan APT etkinliğiyle ilişkilendirmeye yöneltti.
Sıfır gün açığıyla birlikte kullanılan kötü amaçlı yazılım yükünü analiz eden araştırmacılar, bu kötü amaçlı yazılımın çeşitlerinin BT şirketlerine, askeri ve savunma sanayi yüklenicilerine ve diplomatik kuruluşlara yönelik yaygın casusluk kampanyalarında kullanıldığını buldu.
Güvenlik açığı Microsoft'a bildirildi ve Salı Ekim Yamasının bir parçası olarak 12 Ekim 2021'de yamalandı.
Şirketin Küresel Araştırma ve Analiz Ekibi (GReAT) Güvenlik Uzmanı Boris Larin şunları söylüyor: “Son birkaç yıldır saldırganların yeni sıfır gün açıkları bulma ve bunlardan yararlanma konusundaki ilgisinde belirli bir eğilimi gözlemledik. Satıcılar tarafından önceden bilinmeyen güvenlik açıkları, kuruluşlar için ciddi bir tehdit oluşturabilir. Ancak, çoğu benzer davranışları paylaşır. Bu nedenle, en son tehdit istihbaratına güvenmek ve bilinmeyen tehditleri proaktif olarak bulan güvenlik çözümlerini kurmak önemlidir."
Kuruluşunuzu yukarıda belirtilen güvenlik açıklarından yararlanan saldırılardan korumak için uzmanlar şunları öneriyor:
Microsoft Windows işletim sistemini ve diğer üçüncü taraf yazılımlarını mümkün olan en kısa sürede güncelleyin ve bunu düzenli olarak yapın.
Kötüye kullanım önleme, davranış algılama ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoruyla desteklenen güvenilir bir uç nokta güvenlik çözümü kullanın.
Anti-APT ve EDR çözümlerini kurun, tehdit keşfi ve tespit yetenekleri, soruşturma ve olayların zamanında düzeltilmesini sağlayın. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin.
Uygun uç nokta korumasının yanı sıra, özel hizmetler yüksek profilli saldırılara karşı yardımcı olabilir.