Trendi Micro’nun Sıfır Günü girişimi Salı günü uyarıda bulunan Trend Micro’nun Sıfır Günü girişimi olan araştırmacılar, Kuzey Kore, İran, Rusya ve Çin’den devlet tarafından desteklenen tehdit aktörleri ve siber suç grupları, son sekiz yıldır görünürde bir düzeltme olmadan sıfır günlük bir pencere kırılganlığından yararlanıyorlar.
CVE numarası olmayan ancak ZDI araştırmacıları tarafından ZDI-CAN-25373 olarak izlenen güvenlik açığı, saldırganların bir kurbanın makinesinde kötü amaçlı komutlar yürütmesine ve çeşitli kötü amaçlı yazılım yükleri sunmasına izin verdi.
ZDI-CAN-25373 HAKKINDA
Saldırganlar kötü niyetli bir .lnk (Windows kısayol) Komut satırı bağımsız değişkenlerine sahip dosyalar Hedef alan. Bu bağımsız değişkenler, kısayol dosyası çalıştırıldığında hedef makinelere aktarılır ve kod yürütülmesine neden olur.
Ne yazık ki, kullanıcılar şüpheli bir şey tespit edemezler, çünkü Hedef Alan, Windows’un kullanıcı arayüzündeki ayrılan alandaki kötü niyetli argümanları gösteremeyeceği için boşluk veya diğer karakterlerle doludur:
Beyazlık dolgu nedeniyle hedef alan boş görünüyor (Kaynak: Trend Micro)
Araştırmacılar, “Tehdit oyuncusu ZDI-CAN-25373’ten yararlanarak, son kullanıcının dosyanın risk düzeyini değerlendirmekle ilgili kritik bilgileri (yürütülen komutlar) görüntülemesini engelleyebilir” dedi.
Ve kullanıcılar genellikle kısayol açmamaları konusunda uyarılırken (.lnk) Doğrulanmamış kaynaklardan alınan dosyalar, meselenin gerçeği, saldırganların genellikle başka bir dosya türü gibi görünmesi için dosyanın simgesini değiştirmesidir.
“Windows her zaman ekranını bastırdığından .lnk uzatma, tehdit aktörleri genellikle .pdf.lnk Kullanıcıları daha da kandırmak için eşleşen bir simge ile birlikte, ”dedi.
Kim hedeflendi ve ne yapmalı?
ZDI-CAN-25373, 2017’den bu yana, çoğunlukla Kuzey Kore, İran, Rusya ve Çin’den devlet destekli siber casusluk grupları tarafından, aynı zamanda siber suç amacıyla devlet destekli olmayan APT grupları tarafından kullanılmaktadır.
ZDI araştırmacıları yaklaşık bin tane kurtardı ve analiz etti .lnk ABD ve Kanada’daki (ağırlıklı olarak) hedefler ve Rusya, Güney Kore, Vietnam, Brezilya ve diğer ülkeler tarafından gönderilen dosyalar.
Analiz, hedeflerin hükümet kuruluşları, özel sektördeki kuruluşlar, düşünce tankları ve STK’lar, telkoslar, finansal kuruluşlar (kripto para birimi ile ilgili) ve enerji ve savunma sektörlerindeki kuruluş olduğunu ortaya koydu.
Araştırmacılar Microsoft’u kusurun varlığından haberdar ettiler ve bir kavram kanıtı sundular, ancak şirket, konuyu gelecekteki bir özellik sürümünde ele alabilmelerine rağmen, derhal servis için çıtayı karşılamadığını söyledi.
“İçeri giren kuruluşlar [the targeted] Sektörler sömürü için daha yüksek risk altındadır ve ZDI-CAN-25373 için güvenlik azaltmalarını derhal taramalı ve sağlamalı ve aynı zamanda uyanık kalmalı .lnk genel olarak dosyalar. Ek olarak, kuruluşlar potansiyel uzlaşmayı araştırmaya veya sistemlerin ZDI-CAN-25373’ü bir saldırı vektörü olarak kullanma konusunda uzlaşma girişimlerine teşvik edilmektedir ”dedi.