ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), onaylanmış aktif saldırılar arasında bilinen sömürülen güvenlik açıkları (KEV) kataloğuna on yıllık bir Microsoft Windows ayrıcalık artış kusurları olan CVE-2018-8639’u ekledi.
İlk olarak Aralık 2018’de Microsoft tarafından düzenlenen bu Win32K Çekirdek Modlu Sürücü Güvenlik Açığı, kimlik doğrulamalı yerel saldırganların sistem ayrıcalıklarıyla keyfi kod yürütmesini ve etkilenen sistemler üzerinde sınırsız kontrol vermesini sağlar.
Federal ajanslar artık bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında hafifletmeler uygulamak için 24 Mart 2025 son tarihle karşı karşıya.
CISA aktif sömürüyü uyarıyor
CVE-2018-8639’un dirilen sömürülmesi, rakiplerin “kırılganlık yaşlanması” taktiklerine artan bağımlılığını vurgulamaktadır-daha eski, genellikle göz ardı edilmemiş kurumsal ortamlarda devam eden kusurları hedefleyen.
Microsoft’un orijinal danışma derecesine rağmen, “kritik” yerine “önemli” olarak derecelendirilmesine rağmen, CISA’nın acil durum ataması modern saldırı zincirlerindeki artan risk profilinin altını çiziyor.
Güvenlik analistleri, güvenlik açığının yeni kimlik kimlik hırsızlığı ve yanal hareket araçları ile uyumluluğu ile yenilenen alaka düzeyini ilişkilendirir.
Teknik analiz, Win32k.sys bileşeninde (CWE-404) kusurun uygunsuz kaynak yönetiminden kaynaklandığını ortaya koyarak saldırganların amaçlanan ilan olduktan sonra sistem nesnelerini manipüle etmesine izin veriyor.
Başarılı sömürü, güvenlik kontrollerini devre dışı bırakmak, fidye yazılımı yük ayrıcalıklarını yükseltmek veya kalıcı arka kaplar oluşturmak için ideal çekirdek modu yürütme yolları oluşturur.
CISA bu etkinliği belirli fidye yazılımı işlemlerine resmi olarak ilişkilendirmemiş olsa da, taktikler, teknikler ve prosedürler (TTP’ler) sağlık ve kritik altyapıyı hedefleyen son Conti ve Lockbit bağlı kuruluş kampanyalarıyla uyumludur.
Federal görevler, daha yeni işletim sistemi sürümlerine taşınmış olan birçok kuruluşa rağmen, Microsoft’un 2018 yamasının (KB4480116) tüm Windows 7’den Windows 10 sistemlerine hemen uygulanmasını gerektirir.
Güncellemelerin uyumsuz olduğu eski ortamlar için CISA, BOD 22-01 çerçeveleri altındaki katı uygulama beyaz listeleme ve kullanıcı modu yürütme kısıtlamaları reçete eder.
Özel sektör kuruluşları, direktiften muaf olmakla birlikte, saldırı hacimleri, kaydedilen gelecekteki metrikler başına yıllık% 217 oranında arttıkça eşdeğer sertleştirme önlemlerini benimsemek için montaj baskısı ile karşı karşıya.
Microsoft’un Güvenlik Yanıt Merkezi, modern Windows 11 sistemlerinin etkilenmemesine rağmen, güvenlik açığının çekirdek modu sonuçlarının öncelikli iyileştirme gerektirdiğini vurgulamaktadır.
CISA kıdemli danışmanı Mark Greene, dünkü Cyberstorm masa üstü egzersizi sırasında “Bu sadece yama ile ilgili değil – bu, düşmanların yıllar boyunca rafine ettiği tüm ayrıcalık yükseltme öldürme zincirlerini sökmekle ilgili” dedi.
24 Mart hafifletme son tarihi yaklaşırken, ülke çapındaki varlık yöneticileri, hala endüstriyel kontrol ve sağlık ağlarında aktif olan on yıllık sistem görüntülerini denetlemek için uğraşıyor.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.