Yıllarca Kuzey Kore, İran, Rusya ve Çin dahil olmak üzere ulus devletlerle bağlantılı en az 11 hack grubu tarafından aktif olarak kullanılmaktadır. 2017’ye kadar uzanan yaygın saldırıların kanıtlarına rağmen, Microsoft bir güvenlik yaması yayınlamayı reddetti ve sorunu “servis için çıtaya ulaşma” olarak etiketledi.
Güvenlik açığı, trend micro tarafından izlenen Görünüş-can-25373saldırganların Kısayol (.lnk) dosyalarındaki komutları gizleyerek Windows sistemlerinde kötü amaçlı kod yürütmesine izin verir. Trend Micro, bu güvenlik açığının sıfır günlük girişim böcek ödül programı yoluyla kanıtını sunduğunda, Microsoft bunu düşük bir şiddet olarak kategorize etti ve anında bir güvenlik güncellemesiyle ele almayacaklarını belirtti. Kusura CVE tanımlayıcısı atanmadı.
Trend mikro araştırmacılar, “Zdi-can-25373’ten yararlanan yaklaşık bin kabuk bağlantısı (.lnk) örnek keşfettik; ancak, toplam sömürü denemesi sayısının çok daha yüksek olması muhtemeldir” dedi. Blog yazısı Hackread.com ile paylaşıldı.
Güvenlik Açığı Nasıl Çalışır?
Güvenlik açığı, Windows’un kısayol dosyaları hakkında bilgileri nasıl görüntülediğinden yararlanır. Bir kullanıcı özelliklerini görüntülemek için bir dosyaya sağ tıkladığında, Windows dosyanın içine gömülü gizli kötü amaçlı komutları gösteremez.
Bilgisayar korsanları, kısayol dosyasının komut satırı bağımsız değişkenlerine çok sayıda boş boşluk veya diğer beyaz alanı ekleyerek bunu başarır. Bu görünmez karakterler, kötü niyetli komutları Windows arayüzünde görünür olanın ötesine etkili bir şekilde iterek dosyanın kullanıcılara zararsız görünmesini sağlar.
Daha da önemlisi, bazı Kuzey Koreli tehdit aktörleri dahil Toprak manator (Apt37) ve Earth Imp (Koni), tespiti daha da karmaşıklaştırmak için 70MB’a kadar boyutlara ulaşan “son derece büyük” kısayol dosyaları oluşturdu. Bu tekniğin, çeşitli devlet destekli hack gruplarının yıllardır saldırı yöntemlerinde sömürdüğü kadar etkili olduğu kanıtlanmıştır.
Devlet destekli hackerlar kusuru aktif olarak kötüye kullanıyor
Güvenlik firmasının analizi, devlet destekli saldırganların neredeyse yarısının bu kırılganlıktan yararlandığını ve geri kalan grupların İran, Rusya ve Çin ile bağlantılı olduğu Kuzey Kore’den geldiğini buldu. Bu kampanyaların yaklaşık% 70’i casusluk ve bilgi hırsızlığına odaklanırken,% 20’sinden fazlası finansal kazancı hedeflemiştir.
Araştırmacılara göre, çeşitli sektörlerdeki kuruluşlar aşağıdakiler dahil olmak üzere yüksek risk altındadır.
- Devlet
- Enerji şirketleri
- Finansal Kurumlar
- Askeri ve savunma
- Telekomünikasyon sağlayıcıları.
Kurbanların çoğu Kuzey Amerika’da tespit edilirken, araştırmacılar Avrupa, Asya, Güney Amerika ve Avustralya’daki saldırılara dikkat çekti. Öte yandan, endüstri liderleri Microsoft’u bu kadar ciddi bir güvenlik açığını ele almadığı için eleştiriyorlar.
Thomas RichardsMassachusetts merkezli uygulama güvenlik çözümleri sağlayıcısı Burlington, Black Duck’ın baş danışmanı, ağ ve kırmızı ekip uygulama direktörü Microsoft’un kararında sürpriz olduğunu ifade etti.
Thomas, “Aktif olarak sömürülen güvenlik açıkları genellikle kısa bir süre içinde yamalanır. Microsoft’un ulus devlet grupları tarafından aktif olarak sömürüldüğü göz önüne alındığında, bu durumda bir güvenlik yaması yayınlamayı reddetmesi olağandışıdır” dedi. “Microsoft, yazılım riskini yönetmek ve dünyadaki sistemlerin daha fazla saldırısını ve uzlaşmasını önlemek için güvenlik açığını hemen ele almalıdır.”
Jason OmzumArizona merkezli Kapsamlı Sertifika Yaşam Döngüsü Yönetimi (CLM) sağlayıcısı Scottsdale Sectigo’daki kıdemli üyesi, Microsoft’un kararından şaşırmıyor.
Jason, “Güvenlik açığından yararlanmak, Windows’un komut satırı argümanlarını Whitespace karakterleriyle dolgu olarak nasıl görüntülediğini ve bu yöntemin günlük senaryolarda olası olmayan belirli koşullar veya kullanıcı etkileşimleri zincirini gerektiriyorsa, Microsoft’un bunu daha düşük risk olarak görebileceğini manipüle etmeyi içerir” diye açıkladı Jason. “Bunu yapma yeteneği, saldırganın bir uç nokta uzlaşması kullanarak ayrıcalıkları yükseltmesini gerektiriyorsa, geçmişte Microsoft’un benzer bir bakış açısını ifade ettiğini gördüm.”
ZDI ve Microsoft: Siber Güvenlik Anlaşmazlıklarının Tarihi
ZDI, Microsoft’u bir güvenlik açığı sorunu konusunda ilk kez eleştirmedi. Temmuz 2024’te ZDI sanık Microsoft, Salı günü güncellemesinde bunları kredi veremiyor ve güvenlik açığı açıklamasında şeffaflık eksikliğini eleştirdi.
Aynı güvenlik açığını bağımsız olarak keşfeden başka bir araştırmacı olan Haifei Li, Microsoft’tan iletişim eksikliğini daha da vurgulayarak kabul edilmedi.
Bununla birlikte, Microsoft’un bu kusur için bir yama yayınlamamayı seçmiş olması, siber güvenlik tehditlerine maruz kalan milyonlarca kullanıcıyı bırakıyor ve ulus devlet bilgisayar korsanları bundan yararlanmaya devam ettikçe organizasyonları riske atıyor. Bu nedenle, korunmak için, kötü niyetli .lnk dosyalarını algılamak ve engellemek için güçlü bir EDR çözümü kullanın. Uzlaşma belirtileri için ağ trafiğini izleyin, şüpheli bağlantılardan kaçınmak için kullanıcıları eğitin ve güvenlik uyarılarında güncel kalın.