2017 yılından bu yana en az 11 devlet destekli tehdit grubu, Windows kısayol dosyalarının verileri çalmasına ve çeşitli endüstrilerdeki kuruluşlara karşı siber casusluk yapmasına izin veren bir Microsoft sıfır gün kusurunu aktif olarak kullanıyor.
Trend Micro’nun Trend Sıfır Günü Girişimi’nden (ZDI) araştırmacılar, saldırganların hazırlanmış kısayol dosyalarından yararlanarak bir kurbanın makinesinde gizli kötü amaçlı komutlar yürütmesine izin veren ZDI-CAN-25373 olarak izlenen yaklaşık 1.000 kötü niyetli .lnk dosyası belirlediler.
Salı günü bir trend mikro blog yayınına göre, “Bu güvenlik açığından yararlanarak, bir saldırgan bir kurbana teslimat için kötü niyetli bir .lnk dosyası hazırlayabilir.” “Dosyayı Windows tarafından sağlanan kullanıcı arayüzünü kullanarak inceledikten sonra, kurban dosyanın kötü niyetli içerik içerdiğini söyleyemeyecektir.”
Saldırganlar tarafından sunulan kötü niyetli dosyalar arasında, kuruluşları veri hırsızlığı ve siber casusluk risklerine maruz bırakan Lumma Infostealer ve Remcos Remot Remote Access Trojan (RAT) dahil olmak üzere çeşitli yükler bulunmaktadır.
Kuzey Kore, İran, Rusya ve Çin’den devlet destekli grupların yanı sıra devlete bağlı olmayan diğer aktörler, Güney Amerika ve Avustralya’daki Kuzey Amerika, Avrupa, Asya’daki hükümet, finansal, telekomünikasyon, askeri ve enerji sektörlerindeki kuruluşları etkileyen kusur saldırılarının arkasındaki saldırıların arkasında yer almaktadır.
Kuzey Koreli aktörler saldırıların% 45’inden fazlasından sorumluyken, yaklaşık% 18’i İran, Rusya ve Çin’den geldi. Saldırı failleri olarak tanımlanan gruplardan bazıları, bilinen gelişmiş kalıcı tehdit (APT) grupları Evil Corp, Kimuky, Bitter ve Mustang Panda’yı içerir.
Şimdiye kadar, Microsoft, Trend Micro’ya göre, Microsoft’a trend ZDI’nın Hata Bounty programı aracılığıyla bir kavram kanıtı sunduğunu söyleyen Kusur’u yamalamak için harekete geçmedi. Trend Micro, kusur keşfi ve sunum zaman çizelgeleri hakkında ek bir yorum talebine hemen yanıt vermedi.
Microsoft’un konumu, şu anda trend micro tarafından tarif edildiği gibi kusuru ele almaya devam etmiyor çünkü ” Şiddet Sınıflandırma Yönergeleribir Microsoft sözcüsü Çarşamba günü e -posta yoluyla söyledi.
Bu arada Microsoft Defender, Microsoft’a göre, Trend Micro tarafından tarif edildiği gibi tehdit etkinliğini tespit edebilir ve engelleyebilir ve Windows Smart App kontrolü, Microsoft’a göre internetten kötü amaçlı dosyaları engeller. Ayrıca, Windows kısayol (.lnk) dosyalarını potansiyel olarak tehlikeli bir dosya türü olarak tanımlar, sistem kullanıcılar bir tane indirmeye çalışırsa bir uyarıyı otomatik olarak tetikler.
Yama gecikmesi endişeleri
Yine de, aktif olarak sömürülen bir kusurun bu kadar uzun süre açılacağı “olağandışı”, genellikle kısa bir süre içinde yamalandıkları için, güvenlik firması Black Duck’ın ana danışmanı ve kırmızı takım uygulama direktörü Thomas Richards, e -posta yoluyla söyledi.
Satıcıların bir güvenlik açığı yamaması için meşru bir nedeni olsa da, bu karar “yakın sömürü için nasıl hazırlanacağı ve azaltma taktikleri oluşturulacağı konusunda net bir şekilde erişimi sınırlı erişimi olan” kuruluşlar için “sinir bozucu olabilir”, Ulusal Güvenlik Ajansı’nın eski bilgisayar ağı operatörü Evan Dornbush bir e -postayla söyledi.
Ve neyin yamalı olana öncelik vermek zor olsa da, “Microsoft bunu açıkça yanlış anladı”, AppSoc baş bilim adamı ve kurucu ortağı Mali Gorantla e-posta yoluyla kaydetti.
Trend Micro’ya göre, kuruluşlar herhangi bir istismar için tarama, şüpheli .LNK dosyalarına karşı uyanık kalarak ve istismar tehditlerini tespit etmek ve bunlara yanıt vermek için kapsamlı uç nokta ve ağ koruma önlemlerinin mevcut olmasını sağlayarak kusurları hafifletmelidir.