Üç ay önce Mart 2024 Salı Yaması güncellemesinde tespit edilen ve yamalanan Microsoft Windows Hata Raporlama Hizmeti’ndeki bir güvenlik açığı, ele alınmadan önce Black Basta fidye yazılımı çetesi tarafından sıfır gün olarak kullanılmış gibi görünüyor. uyardı.
CVE-2024-26169 Mart ayında çok az ilgi gördü; ciddiyeti açısından Önemli olarak derecelendirildi ve 7,8’lik bir CVSS taban puanı verildi ve Microsoft, dolaşımda olan herhangi bir kamuya açık kavram kanıtı veya açık tespit etmemişti. Bu durum ele alınmazsa, saldırganın ayrıcalıklarını yükseltmesine olanak tanır ve potansiyel olarak bir siber saldırı zincirinin unsuru haline gelebilir.
Symantec’in Tehdit Avcısı ekibine göre, Microsoft’un o sırada haberi olmadığı halde, bu gerçekten olmuş gibi görünüyor. Araştırmacılar, yakın zamandaki saldırılarda kullanılan CVE-2024-26169’a yönelik bir yararlanma aracı tanımlayıp analiz ettiklerini ve bu aracın yama yapılmadan önce derlenmiş gibi göründüğünü ve güvenlik açığının durumunu geriye dönük olarak sıfır gün durumuna değiştirdiklerini söylüyorlar.
“Saldırganlar bu saldırıda fidye yazılımı yükünü dağıtmayı başaramasa da, kullanılan taktikler, teknikler ve prosedürler (TTP’ler), Black Basta etkinliğini ayrıntılarıyla anlatan yakın tarihli bir Microsoft raporunda açıklananlara oldukça benziyordu. Tehdit Avcısı Ekibi, bunların arasında yazılım güncellemeleri gibi görünen toplu komut dosyalarının kullanılmasının da yer aldığını söyledi.
“Her ne kadar herhangi bir yük konuşlandırılmamış olsa da, TTP’lerdeki benzerlikler bunun başarısız bir Black Basta saldırısı olma ihtimalini yüksek kılıyor.”
Bu istismar aracı, werkernel.sys adlı belirli bir dosyanın, kayıt defteri anahtarları oluştururken “boş” bir güvenlik tanımlayıcısı kullanması ve ana anahtarın, alt anahtarlar için bir “Yaratıcı Sahibi” erişim kontrol girişine (ACE) sahip olması gerçeğine dayanıyor gibi görünüyor , ortaya çıkan alt anahtarların tümü geçerli sürecin kullanıcılarına aittir.
Symantec, fidye yazılımı çetesinin, “Hata Ayıklayıcı” değerini yürütülebilir bir yol adı olarak ayarladığı belirli bir kayıt defteri anahtarı oluşturmak için bundan yararlandığını söyledi. Bu da istismarın yönetici haklarına sahip bir kabuk başlatmasını sağlar.
Araştırmacılar, keşfettikleri aracın iki farklı versiyonunun birkaç ay önce derlendiğini, ilkinin 18 Aralık 2023 ve ikincisinin 27 Şubat 2024’te derlendiğini söyledi. Ancak taşınabilir yürütülebilir dosyalardaki zaman damgası değerlerinin değiştirilebileceğini anlamak önemli. ve belirli bir zaman damgası, CVE-2024-26169’un sıfır gün olarak kullanıldığına dair tek başına yeterli kanıt değildir.
Bununla birlikte Symantec, Black Basta’nın tercih ettiği Qakbot botnet’inin Ağustos 2023’te kesintiye uğramasının ardından saldırılara yeniden başlaması göz önüne alındığında, bu özel aracın arkasında muhtemelen çetenin olduğunu söyledi.
Acumen’in baş operasyon sorumlusu ve kurucu ortağı Kevin Robertson, daha önceki açıklamalarında CVE-2024-26169’un birçok siber yöneticiyi yanlış bir güvenlik duygusuna sürüklediğine ve yamanın olağan şekilde önceliklendirilmemesine neden olabileceğine dair hiçbir kanıt bulunmadığını söyledi. aylık acele.
“Siber suç çeteleri, Microsoft gibi her yerde bulunan yazılımlardaki zayıflıklardan yararlanıyor ve bunları sistemlere arka kapı olarak kullanıyor” dedi. “Yazılım satıcılarının sürekli olarak güvenlik açıklarını araştırmak ve düzeltmek gibi bir görevi var, aksi takdirde müşterilerini ciddi risk altına sokuyorlar. Ayrıca, yamalar yayınlanmadan önce güvenlik açıklarından yararlanılıp yararlanılmadığını araştırmak gibi bir görevleri de var; çünkü bu, kuruluşların uzlaşmaları kaçırmasına neden olabilir.
Robertson, “Bu CVE’yi henüz yamamamış herhangi bir kuruluş için bunu hemen yapın, çünkü Black Basta gibi bir düşmanın elinde, günümüzün en tehlikeli güvenlik açıklarından biri haline geldi” dedi.