CISA, federal kurumlara, Rusya merkezli RomCom siber suç grubu tarafından NATO kimlik avı saldırılarında istismar edilen Windows ve Office ürünlerini etkileyen sıfır günde uzaktan kod yürütmeyi azaltma talimatı verdi.
Güvenlik açıkları (toplu olarak CVE-2023-36884 olarak izlenir) Pazartesi günü CISA’nın Bilinen Yararlanılan Güvenlik Açıkları listesine de eklendi.
Kasım 2021’de yayınlanan bağlayıcı operasyonel direktif (BOD 22-01) kapsamında, ABD Federal Sivil Yürütme Şube Ajanslarının (FCEB) artık Windows cihazlarını ağlarında CVE-2023-36884’ten yararlanan saldırılara karşı korumaları gerekmektedir.
Federal kurumlara, Microsoft tarafından bir hafta önce paylaşılan hafifletme önlemlerini uygulayarak sistemlerini güvence altına almaları için 8 Ağustos’a kadar üç hafta süre verildi.
Kusur henüz ele alınmamış olsa da Microsoft, aylık sürüm süreci veya bant dışı bir güvenlik güncellemesi aracılığıyla yamalar sunmayı taahhüt etmiştir.
Yamalar kullanıma sunulana kadar Redmond, Defender for Office 365, Microsoft 365 Uygulamaları (Sürüm 2302 ve üzeri) kullanan müşterilerin ve “Tüm Office uygulamalarının alt süreçler oluşturmasını engelle” Saldırı Yüzeyi Azaltma Kuralını zaten etkinleştirmiş olanların CVE-2023’e karşı korunduğunu söylüyor -36884 kimlik avı saldırısı.
Bu korumaları kullanmayanlar, saldırı vektörünü kaldırmak için veri 1 ile REG_DWORD türünde değerler olarak FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kayıt defteri anahtarına şu işlem adlarını ekleyebilir: Excel.exe, Graph.exe, MSAccess.exe, MSPub.exe, PowerPoint.exe, Visio.exe, WinProj.exe, WinWord.exe, Wordpad.exe.
Ancak, bu kayıt defteri anahtarının ayarlanması CVE-2023-36884 saldırılarını engellese de bazı Microsoft Office uygulamalarının işlevlerini de etkileyebileceğini unutmamak önemlidir.
Kataloğun birincil odak noktası ABD federal kurumları etrafında dönse de, özel şirketlerin de CISA’nın KEV kataloğuna eklenen tüm güvenlik açıklarını yamalamaya öncelik vermesi şiddetle tavsiye edilir.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sıklıkla saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.”
NATO kimlik avı saldırılarında Rus bilgisayar korsanları tarafından istismar edildi
Bu ayın Salı Yaması sırasında yayınlanan bir raporda Microsoft, CVE-2023-36884 sıfır günlerinin Kuzey Amerika ve Avrupa’daki devlet kurumlarına yönelik hedefli saldırılarda kullanıldığını doğruladı.
Redmond, “Kampanya, Microsoft’a Word belgeleri aracılığıyla ifşa edilmeden önce yararlanılan bir uzaktan kod yürütme güvenlik açığı da dahil olmak üzere CVE-2023-36884’ün kötüye kullanılmasını içeriyordu.”
“Storm-0978 (DEV-0978; diğer satıcılar tarafından arka kapılarının adı olan RomCom olarak da anılır), fırsatçı fidye yazılımı ve yalnızca gasp operasyonlarının yanı sıra hedeflenen kimlik bilgileri yürüttüğü bilinen, Rusya merkezli bir siber suç grubudur. -muhtemelen istihbarat operasyonlarını destekleyen kampanyalar toplamak.”
“Aktörün Haziran 2023’te tespit edilen son kampanyası, RomCom ile benzerlikleri olan bir arka kapı sağlamak için CVE-2023-36884’ün kötüye kullanılmasını içeriyordu.”
BlackBerry’nin istihbarat ekibinden ve Ukrayna’nın Bilgisayar Acil Müdahale Ekibinden (CERT-UA) araştırmacılar tarafından derlenen raporlara göre, saldırganlar Vilnius’taki NATO Zirvesi’ne katılan kuruluşları hedef almak için Ukrayna Dünya Kongresi örgütünü taklit eden kötü amaçlı Office belgeleri kullandılar.
Bu oyunla, MagicSpell yükleyici ve RomCom arka kapısını içeren kötü amaçlı yazılım yüklerini dağıtmak için hedeflerini başarıyla kandırdılar.
RomCom siber suç çetesi daha önce Industrial Spy fidye yazılımı operasyonuyla bağlantılıydı ve şimdi Underground adlı yeni bir fidye yazılımı türüne geçti. Mayıs 2022’de MalwareHunterTeam, bir Endüstriyel Casus fidye notundaki e-posta adresini ve TOX kimliğini araştırırken ayrıca Küba fidye yazılımı operasyonuna bir bağlantı buldu.