Kritik Windows SmartScreen Kusuru için Kavram İstismarının Kanıtı Herkese Açıktır



Microsoft’un Kasım 2023 aylık güvenlik güncelleştirmesinde bir düzeltme eki yayınladığı Windows SmartScreen teknolojisindeki kritik bir sıfır gün güvenlik açığı için kavram kanıtı istismarı kullanıma sunuldu.

PoC, henüz yapmamışlarsa kuruluşların hatayı giderme ihtiyacını artırıyor.

Güvenlik Baypas Kusuru

CVE-2023-36025, saldırganlara herhangi bir uyarı tetiklemeden Windows Defender SmartScreen kontrollerinden zararlı kodları gizlice geçirmelerine olanak tanıyan bir güvenlik atlama kusurudur. Saldırganın bu kusurdan yararlanabilmesi için, kullanıcının kötü amaçla oluşturulmuş bir İnternet kısayoluna (.URL) veya böyle bir dosyaya işaret eden bir bağlantıya tıklamasını sağlaması gerekir.

Microsoft, hatanın düşük saldırı karmaşıklığı içerdiğini, yalnızca düşük ayrıcalıklar gerektirdiğini ve İnternet üzerinden yararlanılabileceğini tespit etti. Güvenlik açığı Windows 10, Windows 11 ve Windows Server 2008 ve sonraki sürümlerde mevcuttur. Bu ayın başlarında birçok güvenlik araştırmacısı, CVE-2023-36025’in Microsoft’un Kasım güncellemesinde düzeltilmesi gereken yüksek öncelikli hatalar arasında olduğunu belirtmişti.

Bir saldırganın CVE-2023-36025’ten yararlanmak için kullanabileceği PoC İnternet kısayol dosyasının yakın zamanda piyasaya sürülmesi, bu güvenlik açığıyla ilgili endişeleri artıracağı kesin.

Komut dosyası temel olarak bir saldırganın görünüşte meşru görünen ancak kötü amaçlı bir .URL dosyasını nasıl oluşturup bunu bir kimlik avı e-postası yoluyla nasıl dağıtabileceğini gösterir. “Bu .URL Saldırı komut dosyasını yazan araştırmacı, dosyanın kötü amaçlı bir web sitesine işaret ettiğini ancak meşru bir şey gibi sunulabileceğini belirtti. Araştırmacı, “Bir saldırgan, bu hazırlanmış .URL dosyasını kimlik avı e-postaları veya güvenliği ihlal edilmiş web siteleri aracılığıyla dağıtabilir” dedi.

Dosyaya tıklaması için kandırılan bir kullanıcı, SmartScreen’den olağan uyarıların hiçbirini almadan doğrudan kötü amaçlı siteye ulaşacak veya kötü amaçlı kod çalıştıracaktır. Araştırmacı, “CVE-2023-36025’in kötüye kullanılması başarılı kimlik avı saldırılarına, kötü amaçlı yazılım dağıtımına ve diğer siber güvenlik tehditlerine yol açabilir” dedi.

Microsoft, bu ayın başlarında bir düzeltme yayınlanmadan önce hatayı hedef alan istismar etkinliğini gözlemlediğini bildirmişti.

APT Group TA455 Kusuru Kötüye Kullananlar Arasında

CVE-2023-36025’i hedef alanlar arasında, Proofpoint ve diğerlerinin en az 2017’den beri takip ettiği, finansal motivasyona sahip, gelişmiş kalıcı tehdit (APT) aktörü TA544 yer alıyor. Tehdit grubu, yıllar geçtikçe hedef alma kampanyalarında çeşitli kötü amaçlı yazılım araçları kullandı. Batı Avrupa ve Japonya’daki kuruluşlar. Ancak en çok Ursnif (diğer adıyla Gozi) bankacılık Truva Atı’nı ve son zamanlarda WikiLoader adlı gelişmiş bir ikinci aşama indiriciyi dağıtmasıyla tanınır.

Bu hafta Proofpoint’teki bir araştırmacı TA544’ü gözlemlediğini bildirdi Remcos’un dahil olduğu bir kampanyada CVE-2023-36025’in kötüye kullanılması, çeşitli tehdit aktörlerinin yıllar boyunca güvenliği ihlal edilmiş Windows cihazlarını uzaktan kontrol etmek ve izlemek için kullandığı uzaktan erişim Truva Atı. Mevcut kampanya için tehdit aktörü, kullanıcıları Sanal Sabit Disk (.vhd) dosyasının yolunu içeren bir .URL dosyasına veya güvenliği ihlal edilmiş bir web sitesinde barındırılan bir .zip dosyasına yönlendiren bağlantıların bulunduğu benzersiz bir web sayfası kurmuştur. Araştırmacı, CVE-2023-36025’in saldırganlara yalnızca .URL dosyasını açarak VHD’yi sistemlere otomatik olarak bağlamanın bir yolunu sunduğunu söyledi.

Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, Microsoft’un bu ayın başlarında SmartScreen güvenlik açığını ilk kez açıkladığında “SmartScreen, Windows tarafından kimlik avı saldırılarını veya kötü amaçlı web sitelerine erişimi ve güvenilmeyen veya potansiyel olarak kötü amaçlı dosyaların indirilmesini önlemek için kullanılıyor.” demişti. . “Bu güvenlik açığı, özel hazırlanmış bir dosyanın saldırganlar tarafından bu kontrolü atlamak için kullanılabileceğini ve işletim sisteminin genel güvenliğini azaltabileceğini gösteriyor.”

CVE-2023-36025, Microsoft’un bu yıl şu ana kadar açıkladığı SmartScreen’deki üçüncü sıfır gün hatasıdır. Şubat ayında Google’daki araştırmacılar, daha önce bilinmeyen bir SmartScreen güvenlik açığını kullanarak Magniber fidye yazılımını hedef sistemlere bırakan bir tehdit aktörü buldu. Microsoft, güvenlik açığını CVE-2023-24880 olarak atadı ve Mart ayında bunun için bir yama yayınladı. Temmuz ayında şirket, SmartScreen’de, tehdit aktörlerinin yamalama sırasında zaten aktif olarak yararlandığı bir güvenlik atlama açığı olan CVE-2023-32049’u yamayı yamaladı.





Source link