Bilgisayar Korsanları Yamasız Office Zero-Day Kusurlarından Aktif Bir Şekilde Yararlanıyor

   Temmuz 13, 2023  Posted in GBHackers


Yeni Office Zero-Day'den Yararlanın

Bir tehdit aktörü olan Storm-0978, bir kimlik avı kampanyasında Avrupa ve Kuzey Amerika savunma ve devlet kurumlarını aktif olarak hedef aldı.

CVE-2023-36884’ten yararlanan kampanya, bir uzaktan kod yürütme güvenlik açığını kötüye kullanmak için Ukrayna Dünya Kongresi ile Word belgelerini kullandı.

Son zamanlarda, Microsoft’taki siber güvenlik analistleri, çeşitli Windows ve Office ürünlerinde yama uygulanmamış bir sıfır gün güvenlik açığını açıkladı.

Bu sıfır gün açığının, tehdit aktörleri tarafından kötü amaçlı Office belgeleri aracılığıyla uzaktan kod yürütme için aktif olarak kullanıldığı bildirildi.

Office Zero-Day Kusuru Sömürülen

Bu sıfır gün güvenlik açığı, kimliği doğrulanmamış saldırganların yüksek karmaşıklıktaki saldırıları kullanarak kullanıcı etkileşimi olmadan bu güvenlik açığından yararlanmasına olanak tanır.

Storm-0978 (namı diğer DEV-0978), aşağıdaki yasa dışı faaliyetleri yürütmesiyle tanınan bir Rus siber suç grubudur:-

  • Fırsatçı fidye yazılımı
  • Gasp
  • Hedeflenen kimlik bilgisi toplama kampanyaları
  • İstihbarat operasyonlarını potansiyel olarak destekleme

Storm-0978, popüler yazılımların truva atı haline getirilmiş sürümlerini dağıtarak kuruluşları hedefler ve bu da RomCom (arka kapılarının adı RomCom’dur) kurulumuyla sonuçlanır.

Başarılı bir şekilde istismar etmek, saldırganların aşağıdaki yetenekleri elde etmesini sağlar: –

  • Hassas bilgilere erişim
  • Sistem korumasını devre dışı bırakır
  • Erişimi reddeder

Güvenlik açığı henüz giderilmediğinden, Microsoft tüm müşterilerine yamaların iki araç aracılığıyla sağlanacağına dair güvence verdi: –

  • Aylık sürüm süreci
  • Bant dışı güvenlik güncellemesi

Bunun dışında, tüm Microsoft 365 Uygulamaları kullanıcıları (Sürüm 2302 ve sonrası), Office aracılığıyla güvenlik açığından yararlanmaya karşı korunur.

Güvenlik Açığı Kullanıldı

  • CVE Kimliği: CVE-2023-36884
  • CNA’nın atanması: Microsoft
  • Tanım: Office ve Windows HTML Uzaktan Kod Yürütme Güvenlik Açığı
  • Piyasaya sürülmüş: 11 Temmuz 2023
  • önem derecesi: kritik
  • Darbe: Uzaktan Kod Yürütme
  • CVSS: 8.3

Microsoft, CVE-2023-36884 yamaları yayınlanana kadar Office için Defender ve “Tüm Office uygulamalarının alt süreçler oluşturmasını engelle” Saldırı Yüzeyi Azaltma Kuralı ile güvenlik açığından yararlanan kimlik avı saldırılarına karşı koruma sağlar.

Storm-0978, Avrupa’da, Ukrayna siyasi işleriyle bağlantılı yemleri kullanarak, öncelikle askeri ve hükümet organlarını hedef alan hedefli kimlik avı operasyonları gerçekleştirdi.

Microsoft’un analizi, Storm-0978’in arka kapılar dağıttığını ve belirlenen uzlaşma sonrası etkinliğe dayalı olarak müteakip hedeflenen operasyonlar için kimlik bilgilerini topladığını ortaya koyuyor.

Fidye Yazılımı Etkinliği

Tehdit aktörünün fidye yazılımı faaliyeti fırsatçıdır ve casusluk hedeflerinden farklıdır ve telekomünikasyon ve finans sektörlerini etkiler.

Fidye yazılımı izinsiz girişleri sırasında Storm-0978, Windows kayıt defterinin Güvenlik Hesabı Yöneticisinden (SAM) parola karmalarını ayıklayarak kimlik bilgilerini alır.

Microsoft, Storm-0978’i Endüstriyel Casus fidye yazılımına ve şifreleyiciye bağlar, ancak Temmuz 2023’ten bu yana önemli kod benzerliklerini paylaşan Underground fidye yazılımını kullanmaya başladı.

Storm-0978 fidye notu (Kaynak – Microsoft)

Koddaki benzerlik ve Storm-0978’in Industrial Spy operasyonlarıyla geçmişteki ilişkisi, Underground fidye yazılımının Industrial Spy’ın yeniden markalaşması olabileceğini gösteriyor.

Yeraltı fidye yazılımı .onion sitesi (Kaynak – Microsoft)

öneriler

Aşağıda, Microsoft tarafından sunulan tüm önerilerden bahsettik: –

  • Microsoft Defender Antivirus veya başka bir AV aracında “bulutla sağlanan korumayı” etkinleştirdiğinizden emin olun.
  • Uç Nokta için Microsoft Defender’ın kötü amaçlı yapıları engellemesini sağlamak için EDR’yi blok modunda çalıştırdığınızdan emin olun.
  • Uyarı hacmini önemli ölçüde azaltacağından, ihlalleri hızlı bir şekilde araştırmak ve çözmek için Microsoft Defender for Endpoint için tam otomasyonu etkinleştirdiğinizden emin olun.
  • Gelişen tehditlere ve polimorfik varyantlara karşı gelişmiş savunma için Office 365 için Microsoft Defender’ı sağlayın.
  • Tüm Office uygulamalarının alt işlemler oluşturmasını engelle seçeneğini kullanmalısınız.
  • İstismardan kaçınmak için, bu güvenlik önlemlerine erişimi olmayan kuruluşlar FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kayıt defteri anahtarını kullanabilir.



Source link