Kaspersky uzmanları, Şubat ayında Microsoft Ortak Günlük Dosyası Sistemi’ndeki (Microsoft Common Log File System – CLFS) sıfır gün açığını kullanan bir saldırı tekniği keşfetti.
Kaspersky uzmanları, Şubat ayında Microsoft Ortak Günlük Dosyası Sistemi’ndeki (Microsoft Common Log File System – CLFS) sıfır gün açığını kullanan bir saldırı tekniği keşfetti. Bir siber suç grubu, Windows 11 de dahil olmak üzere Windows işletim sisteminin farklı sürümleri ayrıca yapıları için geliştirilen bir açığı kullanarak Nokoyawa fidye yazılımını dağıtmaya çalıştı. Microsoft bu güvenlik açığına CVE-2023-28252 adını verdi ayrıca 11 Nisan yamasının bir parçası oldu. Mevzu Bahis tehdit aktörü, Orta Doğu ayrıca Kuzey Amerika’da ayrıca daha önce Asya bölgelerinde farklı küçük ayrıca orta ölçekli işletmelere yönelik saldırılarda benzer ayrıcalık yükseltme istismarlarını uygulamaya çalışmıştı.
Kaspersky tarafınca keşfedilen açıkların çoğu gelişmiş tehdit grupları (APT’ler) tarafınca kullanılırken, yeni açığın fidye yazılımı saldırıları gerçekleştiren sofistike bir grup tarafınca siber suç amacıyla kullanıldığı ortaya çıktı. Bu grup, birbirine yakın olsa da her biri benzersiz Ortak Günlük Dosya Sistemi (CLFS) açıklarını kullanmasıyla dikkat çekiyor. Kaspersky bu türden en az beş farklı açıkla karşılaştı. Bunlar perakende, toptan satış, enerji, üretim, sağlık, yazılım geliştirme ayrıca diğer sektörlere yönelik saldırılarda kullanıldı.
Microsoft, keşfedilen sıfır gün açığına CVE-2023-28252 kodunu atadı. Bu, bu alt sistem tarafınca kullanılan dosya formatının manipüle edilmesiyle tetiklenen Ortak Günlük Dosya Sistemi ayrıcalık yükseltme güvenlik açığına karşılık geliyor. Kaspersky araştırmacıları, Orta Doğu ayrıca Kuzey Amerika bölgelerindeki farklı küçük ayrıca orta ölçekli işletmelere ait Microsoft Windows sunucularında benzer ayrıcalık yükseltme açıklarını çalıştırmaya yönelik bir dizi girişimle ilgili ek kontroller sırasında, bu açığı Şubat ayında ortaya çıkardı.
CVE-2023-28252 ilk olarak Kaspersky tarafınca siber suçluların Nokoyawa fidye yazılımının yeni bir sürümünü dağıtmaya çalıştıkları bir saldırıda tespit edildi. Normalde bu fidye yazılımının eski varyantları JSWorm fidye yazılımının sadece tekrardan markalanmış hallerinden oluşuyordu. Ancak yukarıda bahsedilen saldırıda Nokoyawa varyantı kod tabanı açısından JSWorm’dan oldukça farklıydı.
Saldırganlar CVE-2023-28252 güvenlik açığını kullanıyor
Saldırıda kullanılan açık, Windows 11 dahil olmak üzere Windows işletim sisteminin farklı sürümlerinde ayrıca yapılarında yer alıyor. Saldırganlar, ayrıcalıkları yükseltmek ayrıca Güvenlik Hesabı Yöneticisi (SAM) veri tabanından kimlik bilgilerini çalmak için CVE-2023-28252 güvenlik açığını kullandılar.
Kaspersky Global Araştırma ayrıca Analiz Ekibi (GReAT) Baş Güvenlik Araştırmacısı Boris Larin, şunları söylüyor: “Siber suç grupları saldırılarında sıfırıncı gün açıklarını kullanarak giderek daha sofistike hale geliyor. Önceleri bu Gelişmiş Kalıcı Tehdit aktörlerinin (APT’ler) kullandığı araçlardı. Ancak artık siber suçlular sıfırıncı gün açıklarını elde edecek ayrıca bunları saldırılarda rutin olarak kullanacak kaynaklara sahipler. Ve onlara yardım etmeye ayrıca üzerinde istismar geliştirmeye istekli geliştirici ekipleri de mevcut. İşletmelerin Microsoft’un yayınladığı yamayı mümkün olan en kısa sürede indirmeleri ayrıca EDR çözümleri gibi diğer koruma yöntemlerini kullanmaları büyük önem taşıyor.”
Kaspersky ürünleri, yukarıdaki güvenlik açığının ayrıca ilgili kötü amaçlı yazılımların istismarını tespit edebiliyor ayrıca bunlara karşı koruma sağlıyor.
Securelist’te bu yeni sıfır gün hakkında daha fazla bilgilendirme edinebilirsiniz. Ayrıntılar Nisan Salı Yaması günü geçtikten dokuz gün sonra paylaşılacak. Böylece şirketlerin sistemlerini yamalamaları için yeterli zamanları olacak.
Kaspersky uzmanları, kuruluşunuzu yukarıda bahsedilen güvenlik açığını kullanan saldırılardan korumak için şunları öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı