Kritik bir 7-Zip sıfır gün istismarı, X’te “NSA_Employee39” takma adı altında çalışan bir bilgisayar korsanı tarafından, saldırganların 7-‘nin en son sürümüyle açıldığında veya çıkartıldığında kurbanın makinesinde rastgele kod yürütmesine olanak tanıyan bir bilgisayar korsanı tarafından kamuya sızdırıldı. Zip.
Bu ifşa, özellikle Infostealer kötü amaçlı yazılımlarının yayılması ve potansiyel tedarik zinciri saldırı vektörleri bağlamında önemli siber güvenlik riskleri teşkil etmektedir.
Cyber Security News kısa bir süre önce, popüler dosya sıkıştırma aracı olan 7-Zip’te, uzaktaki saldırganların özel hazırlanmış arşivler aracılığıyla kötü amaçlı kod çalıştırmasına olanak tanıyan ciddi bir güvenlik açığının keşfedildiğini bildirdi.
Güvenlik Açığı: 7-Zip’in LZMA Kod Çözücüsünden Yararlanmak
Açıklanan sıfır gün, 7-Zip’teki LZMA kod çözücüyü hedef alıyor. Özellikle, hatalı biçimlendirilmiş bir LZMA akışından yararlanarak bellek taşmasını tetikler. RC_NORM işlev.
Bu karmaşık istismar, kurbanın sisteminde rastgele kod yürütmek için arabellek işaretçilerini ve veri yükü hizalamasını manipüle eder.
Kullanıcılar için bu, 7-Zip uygulamasını kullanarak kötü amaçlı bir .7z dosyasını açmanın veya çıkarmanın basit bir eyleminin sistemi tehlikeye atabileceği ve saldırganların herhangi bir ek kullanıcı etkileşimi gerektirmeden kötü amaçlı kabuk kodu çalıştırmasına olanak sağlayabileceği anlamına gelir.
Bu istismarı göstermek için “NSA_Employee39”, Pastebin aracılığıyla Windows Hesap Makinesi uygulamasını başlatan, zararsız bir veri çalıştıran kodu gösteren bir ekran görüntüsü paylaştı (calc.exe). Ancak bu kod kolaylıkla daha zararlı verilerle değiştirilebilir ve bu da tehdidi önemli ölçüde artırır.
Infostealer Kötü Amaçlı Yazılımlara Karşı Yeni Bir Yol
Bu istismar özellikle Infostealer kötü amaçlı yazılım saldırıları bağlamında endişe vericidir. Bu kötü amaçlı programlar, oturum açma kimlik bilgileri, banka ayrıntıları ve kişisel veriler gibi hassas bilgileri virüslü sistemlerden sessizce çıkarmak için tasarlanmıştır.
Bilgi hırsızları, antivirüs taramalarını atlamak için genellikle şifre korumalı .rar veya .zip dosyalarını kullanarak yayılmak için genellikle sosyal mühendislik taktiklerine güvenirler. Ancak 7-Zip sıfırıncı günü, parola korumasına veya karmaşık yöntemlere olan ihtiyacı ortadan kaldırır.
Kullanıcılar, güvenliği ihlal edilmiş bir .7z dosyasını açarak bilmeden kötü amaçlı kod çalıştırabilir ve saldırganlara kusursuz bir enfeksiyon vektörü sağlayabilir.
Bu güvenlik açığının potansiyeli bireysel kullanıcıların çok ötesine uzanıyor. Pek çok kuruluş, özellikle tedarik zinciri operasyonlarında, dış kaynaklardan alınan dosyaların çıkarılmasını içeren iş akışlarını otomatikleştirir.
Saldırganlar, .7z dosyalarını silah haline getirerek bu otomatik süreçlere sızabilir ve kurumsal sistemlere fark edilmeden yürütülen kötü amaçlı yükleri yerleştirebilirler.
Böyle bir senaryo, veri ihlalleri, fidye yazılımının yayılması ve yaygın operasyonel kesintiler dahil olmak üzere önemli riskler doğurur.
Bu güvenlik açığından yararlanmak kavramsal olarak basit olsa da, yüksek derecede teknik uzmanlık gerektirir. Örneğin, saldırganların yalnızca 100-200 baytlık kısıtlı bir alanda çalışabilen kabuk kodu oluşturması gerekiyor.
Bu sınırlamaya rağmen siber güvenlik uzmanları, yetenekli saldırganların bu zorlukların üstesinden kolayca gelebileceği ve bu durumun istismarı açık ve mevcut bir tehlike haline getirebileceği konusunda uyarıyor.
Bu 7-Zip sıfır gününün piyasaya sürülmesi, yazılımdaki güvenlik açıkları ve sorumlu açıklama süreciyle ilgili daha geniş endişeleri artırıyor.
Geliştiricilerin bunları düzeltmesi için zaman tanıyan resmi kanallar aracılığıyla bildirilen güvenlik açıklarından farklı olarak, herhangi bir uyarı yapılmadan kamuya açıklanması, saldırganlara korumasız sistemlerden yararlanma fırsatı verir.
Endişeleri daha da artırmak için, “NSA_Employee39”, açık kaynaklı bir forum yazılımı olan MyBB’yi hedef alan yeni bir sıfır gün yazılımının yakında yayınlanacağını ima etti. Bu durum ortaya çıkarsa büyük ihlallere yol açabilir ve sayısız çevrimiçi topluluğun hassas veritabanlarının açığa çıkmasına neden olabilir.
Kullanıcılar ve Kuruluşlar Ne Yapmalı?
7-Zip güvenlik açığına yönelik resmi bir yama henüz yayınlanmamış olsa da siber güvenlik uzmanları, riski en aza indirmek için derhal harekete geçilmesini öneriyor. Temel adımlar şunları içerir:
- Güncellemeleri İzleyin: Kullanıcılar ve kuruluşlar, 7-Zip geliştiricilerinin güncellemelerini yakından takip etmeli ve yamalar yayınlanır yayınlanmaz uygulamalıdır.
- Azaltma Stratejilerini Uygulayın: Kuruluşlar, üçüncü taraf dosyalarını işlemeden önce incelemek için dosya korumalı alan oluşturma ve tarama mekanizmalarını benimsemelidir.
- Farkındalığı Artırın: İstenmeyen veya şüpheli arşiv dosyalarını açmanın riskleri konusunda kullanıcıları eğitmek için eğitim düzenleyin.
- Topluluk İşbirliği: Siber güvenlik uzmanları ve araştırmacıları, bu ve diğer istismarların oluşturduğu ortaya çıkan tehditleri analiz etmek ve bunlara karşı koymak için işbirliği yapmalıdır.
7-Zip sıfır günü, en güvenilir ve yaygın olarak kullanılan yazılımlarda bile bulunan güvenlik açıklarını net bir şekilde hatırlatıyor. Siber suçlular için bu, başta Bilgi Hırsızları olmak üzere kötü amaçlı yazılım yaymak için geliştirilmiş bir vektörü temsil eder.
Savunmacılar için, hızla gelişen tehditler karşısında savunmayı güçlendirmeye ve tetikte olmaya yönelik acil ihtiyacın altını çiziyor.
Siber güvenlik topluluğu şimdi 7-Zip geliştiricilerinin potansiyel bir düzeltmesi ve MyBB sıfır gününün vaat edilen açıklaması da dahil olmak üzere daha fazla gelişmeyi bekliyor.
Bu arada, bu istismarın tedarik zincirleri, kritik sistemler ve dünya çapındaki kullanıcılar için oluşturduğu geniş kapsamlı riskleri ortaya koyması nedeniyle kuruluşların ve bireylerin tetikte kalması gerekiyor.