© Sektorel 2021

Microsoft Windows ve Chrome tarayıcısında sıfır gün açıkları tespit edildi

Kaspersky uzmanları, Nisan ayında daha önce keşfedilmemiş Google Chrome ve Microsoft Windows sıfır gün açıklarını kullanarak çok sayıda şirketi hedefleyen bir saldırı dizisi keşfetti. Söz konusu istismarlardan biri Chrome web tarayıcısında uzaktan kod yürütmek için kullanılırken, diğeri ise Windows 10'un en yeni ve belirgin yapılarını hedef almak üzere iki ayrı ayrıcalık yükseltme istismarını temel alıyor. Bunlar İşletim Sistemi Çekirdeği: Bilgi Açıklama Güvenlik Açığı CVE-2021-31955 ve Ayrıcalık Yükseltme Güvenlik Açığı CVE-2021-31956 olarak listeleniyor. Microsoft, her iki açığı da yamadığını duyurdu.

Kaspersky uzmanları, Nisan ayında daha önce keşfedilmemiş Google Chrome ve Microsoft Windows sıfır gün açıklarını kullanarak çok sayıda şirketi hedefleyen bir saldırı dizisi keşfetti. Söz konusu istismarlardan biri Chrome web tarayıcısında uzaktan kod yürütmek için kullanılırken, diğeri ise Windows 10'un en yeni ve belirgin yapılarını hedef almak üzere iki ayrı ayrıcalık yükseltme istismarını temel alıyor. Bunlar İşletim Sistemi Çekirdeği: Bilgi Açıklama Güvenlik Açığı CVE-2021-31955 ve Ayrıcalık Yükseltme Güvenlik Açığı CVE-2021-31956 olarak listeleniyor. Microsoft, her iki açığı da yamadığını duyurdu.

Son aylarda sıfır gün açıklarını kullanan yeni bir gelişmiş tehdit dalgası sahada öne çıktı. Nisan ayının ortalarında Kaspersky uzmanları, saldırganların hedeflenen ağları gizlice ele geçirmesine olanak tanıyan, çok sayıda şirkete yönelik yeni bir yüksek düzeyde hedefli açıklardan yararlanan yeni bir tehdit dalgası keşfetti.

Kaspersky, bu saldırılarla bilinen tehdit aktörleri arasında henüz bir bağlantı bulamadı. Bu nedenle bu yeni oyuncuya PuzzleMaker adı verildi.

Saldırılar Chrome tarayıcısı üzerinden gerçekleştirildi ve uzaktan kod yürütmeye izin veren bir açıktan yararlanıldı. Kaspersky araştırmacıları uzaktan yürütme açığının kodunu alamamış olsa da zaman çizelgesi ve kullanım aktiviteleri saldırganların şu anda yamanmış olan CVE-2021-21224 güvenlik açığını kullandığını gösteriyor. Bu güvenlik açığı, Chrome ve Chromium web tarayıcıları tarafından kullanılan bir JavaScript motoru olan V8'deki Tür Uyuşmazlığı hatasıyla ilgili ve saldırganların Chrome derleyici sürecinden yararlanmalarına olanak tanır.

Bununla birlikte Kaspersky uzmanları, Microsoft Windows işletim sistemi çekirdeğindeki iki farklı güvenlik açığından yararlanan ikinci istismarı bulup analiz etmeyi başardı. Hassas çekirdek bilgilerini sızdıran bu güvenlik açığı CVE-2021-31955 olarak işaretlendi. Bu açık ilk olarak Windows Vista ile tanıtılan ve yaygın olarak kullanılan uygulamaları belleğe önceden yükleyerek yazılım yükleme sürelerini azaltmayı amaçlayan bir özellik olan SuperFetch ile bağlantılı.

Saldırganların çekirdekten yararlanmasına ve bilgisayara erişim elde etmesine olanak tanıyan ikinci güvenlik açığı - CVE-2021-31956 adıyla biliniyor ve yığın tabanlı arabellek taşmasına karşılık geliyor. Saldırganlar, rastgele bellek okuma/yazma ilkeleri oluşturmak ve sistem ayrıcalıklarıyla kötü amaçlı yazılım modüllerini yürütmek için Windows Bildirim Tesisi (WNF) ile birlikte CVE-2021-31956 güvenlik açığını kullanıyor.

Saldırganlar, hedeflenen sisteme yerleşmek için hem Chrome hem de Windows açıklarından yararlandıktan sonra, aşamalı bir modül yardımıyla uzak sunucudan daha karmaşık bir kötü amaçlı yazılımı indirip çalıştırıyor. Daha sonra Microsoft Windows işletim sistemine ait meşru dosyalar gibi görünen iki çalıştırılabilir dosya yükleniyor. Bu dosyalardan ikincisi dosyaları indirip yükleyebilen, görevler oluşturabilen, belirli süre boyunca uyuyabilen ve virüs bulaşmış sistemden kendisini silebilen bir uzak kabuk modülüne karşılık geliyor.

Microsoft, her iki Windows güvenlik açığı için yamaları yayınladı.

Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Boris Larin, şunları ifade ediyor: "Bu saldırılar yüksek oranda hedeflenmiş olsa da onları henüz bilinen herhangi bir tehdit aktörüne bağlamadık. Bu nedenle, arkasındaki aktöre PuzzleMaker adını verdik. Bu grubun gelecekteki faaliyetlerini veya yeni bilgiler için güvenlik ortamını yakından izleyeceğiz. Genel olarak son zamanlarda, sıfır gün açıklarından kaynaklanan yüksek profilli tehdit faaliyeti dalgası görüyoruz. Sıfır gün açıkları hedefe bulaşmak için en etkili yöntem olmaya devam ediyor. Ayrıca söz konusu güvenlik açıkları artık bilinir hale geldiğinden diğer tehdit aktörleri tarafından saldırılarda kullanıldığını görmemiz mümkün. Bu nedenle kullanıcıların Microsoft'un yayınladığı en son yamaları mümkün olan en kısa sürede yüklemeleri gerekiyor.”

Kaspersky ürünleri, yukarıdaki güvenlik açıklarına ve ilgili kötü amaçlı yazılım modüllerine yönelik istismarı algılıyor ve bunlara karşı koruma sağlıyor.

Kuruluşunuzu yukarıdaki güvenlik açıklarından yararlanan saldırılardan korumak için Kaspersky uzmanları şunları öneriyor:

İlginizi Çekebilir

TÜM HABERLER