Microsoft Corp., Microsoft Aktif Koruma Programından (MAPP) bir sızıntının, konuya aşina olan kaynaklara göre, Çin devlet destekli bilgisayar korsanlarının yamalar tamamen konuşlandırılmadan önce kritik SharePoint güvenlik açıklarından yararlanıp yararlanmadığını araştırıyor.
Soruşturma, siber casusluk saldırılarının ABD Ulusal Nükleer Güvenlik İdaresi de dahil olmak üzere dünya çapında 400’den fazla kuruluşu tehlikeye attığı için geliyor.
Saldırıların zamanlaması siber güvenlik uzmanları arasında önemli kırmızı bayraklar yarattı. Vietnamlı araştırmacı Dinh Ho Anh Khoa ilk olarak Mayıs ayında Berlin’deki PWN2own Siber Güvenlik Konferansı’nda SharePoint güvenlik açıklarını gösterdi ve keşfi için 100.000 dolar kazandı.
Microsoft, Temmuz ayında ilk yamaları yayınladı, ancak MAPP ortakları 24 Haziran, 3 Temmuz ve 7 Temmuz’da güvenlik açıklarından haberdar edildi.
En önemlisi, Microsoft ilk olarak 7 Temmuz’da istismar girişimlerini gözlemledi – Nihai Mapp Bildirim Dalgası ile aynı gün. Mapp üyesi olan Trend Micro’nun Sıfır Günü girişiminde tehdit farkındalığı başkanı Dustin Childs, “Mapp programında birisinin bu bilgileri istismarlar oluşturmak için kullanmasıdır” dedi.
Araştırmacılar tarafından “Araç Kazası” olarak adlandırılan sofistike saldırı zinciri, bilgisayar korsanlarının kimlik doğrulama kontrollerini atlamasına ve SharePoint sunucularında kötü amaçlı kod yürütmesine izin verir. Bu güvenlik açığını özellikle tehlikeli kılan şey, saldırganların kriptografik makine anahtarlarını çalabilmeleri ve sistemlerin yamalandıktan sonra bile kalıcı erişimi sürdürmelerini sağlayabilmeleridir.
Yaygın küresel etki
Siber saldırı kampanyası, Microsoft’un ihlalleri üç Çin hack grubuna atfetmesi ile birden fazla sektördeki kuruluşları etkiledi: Keten Tayfun, Violet Typhoon ve Storm-2603.
Amerika’nın nükleer silah stoklarının tasarlanmasından ve sürdürülmesinden sorumlu Ulusal Nükleer Güvenlik İdaresi, yüksek profilli kurbanlar arasındaydı, ancak yetkililer sınıflandırılmış hiçbir bilginin tehlikeye atılmadığını söylüyor.
Enerji Bakanlığı sözcüsü, “18 Temmuz Cuma günü, bir Microsoft SharePoint sıfır gün kırılganlığının sömürülmesi, NNSA da dahil olmak üzere Enerji Bakanlığı’nı etkilemeye başladı.” Ajans, Microsoft’un bulut hizmetlerinin yaygın kullanımı nedeniyle “minimal etkilendiğini” söyledi.
Saldırıları ilk tespit eden siber güvenlik firması olan Eye Security, onaylanmış dört sömürü dalgasında aktif olarak tehlikeye atılan 400’den fazla sistem bildirdi. Mağdurlar hükümet kurumlarını, eğitim kurumlarını, enerji şirketlerini ve Kuzey Amerika’dan Avrupa ve Asya’ya özel şirketleri kapsamaktadır.
MAPP programı ilk kez tehlikeye girmez. 2012 yılında Microsoft, şirketin bir Windows güvenlik açığı için kavram kanıtı kodunu sızdırdıktan sonra Çin firması Hangzhou Dptech Technologies Co. Daha yakın zamanlarda, Qihoo 360 Technology Co., ABD varlık listesine yerleştirildikten sonra programdan kaldırıldı.
Bloomberg’e göre, en az bir düzine Çinli şirket şu anda siber güvenlik satıcılarına güvenlik açıkları bildirimi sağlayan 17 yaşındaki MAPP programına katılıyor-genellikle kamu açıklamasından 24 saat önce, bazı güvenilir ortaklar beş gün önce bilgi alıyor.
Bir Microsoft sözcüsü, “Standart sürecimizin bir parçası olarak, bu olayı gözden geçireceğiz, iyileştirilecek alanları bulacağız ve geniş bir şekilde uygulayacağız” dedi.
Washington’daki Çin Büyükelçiliği, Dışişleri Bakanlığı sözcüsü Guo Jiakun’un “Çin’in siber güvenlik meseleleri mazereti altında Smears ve Saldırılar” ı karşı çıkarken “Çin’e karşı hackleme faaliyetlerine karşı çıktığını ve mücadele ettiğini” belirten katılımı reddetti.
Araştırma, Microsoft’un güvenlik açığı bilgilerini güvenlik ortaklarıyla paylaşma konusunda narin bakiye ile karşı karşıya kalırken, kötü niyetli aktörlerin saldırıları hızlandırmak için ileri bilgileri kullanmasını önler. Onaylanmış herhangi bir sızıntı, Mapp programının güvenilirliğine ve etkinliğine önemli bir darbe indirecektir.
Soruşturma devam ettikçe, siber güvenlik uzmanları, bu güvenlik açıklarının – iki aydan biraz fazla bir süredir kitlesel sömürüye – hızlı silahlanmasının modern siber tehditlerin gelişen sofistike ve hızını gösterdiği konusunda uyarıyor.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi