Kurabiye ısırığı MFA Aşil Topuk Gömkunu Ortaya Çıkarıyor

Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı

Ayrıca, Blue Shield Breach 4.7m’yi ortaya çıkarır, Cyberattack Teksas’taki şehir sistemlerini bozar

Anviksha More (Anvikshamore) •
24 Nisan 2025

Her hafta, Bilgi Güvenliği Medya Grubu, dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta, bir çerez ısırığı saldırısı Azure Entra Kimliğinde MFA’yı, Microsoft sabit RDP dondurmalarını, Katalonya’da bir fidye yazılımı saldırısı, Blue Shield’ın Google’a maruz kaldığı verileri, Teksas’taki bir siber saldırı, Güney Koreli telekom ihlali maruz kalan USIM verilerini ve Kuzey Kore derinfakları hakkında bir uyarı.

Ayrıca bakınız: Fidye Yazılımı ve Gasp Saldırılarını Azaltma Uzman Kılavuzu

Varonis Tehdit Laboratuarları araştırmacıları, Azure Bulutunda Kalıcı Kimlik Doğrulama Çerezleri Bypass Multi-Factor Kimlik Doğrulama Korumalarını Byposing “Çerez-Işın” olarak adlandırılan bir saldırı tekniğini özetledi.

Azure’s Intra Kimlik Kimliği ve Erişim Yönetimi Hizmeti Setleri Adlandırılmış Çerezler ESTSAUTH ve estsauthpersistent. Varonis tarafından öngörülen saldırı, Outlook ve ekipler gibi Microsoft 365 hizmetlerine kalıcı erişim sağlayacak ve saldırganların keşif yapmasına, ayrıcalıkları artırmasına ve kuruluşlar içinde yanal olarak hareket etmesine izin verecek.

Konsept kanıtı, bir kullanıcı Microsoft’un kimlik doğrulama portalına her giriş yaptığında oturum çerezlerini çalmak için kötü niyetli bir krom uzantısı ve PowerShell komut dosyası oluşturur. Bir kullanıcıyı doğrulayan ve MFA durumunu doğrulayan bu çerezler, saldırganlar için “krallığın anahtarları” olarak hareket eder ve yaklaşım geleneksel kötü amaçlı yazılım veya sistem değişikliklerinden kaçınarak algılamayı zorlaştırır.

Teknik yeni bir güvenlik açığından yararlanmasa da, oturum kaçırmanın uzun vadeli bulut erişimini nasıl sağlayabileceğini gösterir. Varonis, Microsoft risk algılama araçlarını kullanma ve Chrome uzantısının uygulanması gibi azaltmaların ADMX politikaları aracılığıyla izin listelerine izin vermesini önerir – birçok kuruluşun göz ardı etmesi.

Microsoft, Windows Server 2025 ve Windows 11 24H2’de uzak masaüstü oturumunu çözdü. Şubat ayında KB5051987’de tanıtılan hata, RDP oturumlarının tepkisiz olmasına neden oldu. Düzeltmeler Windows 11 için KB5052093 ve sunucu için KB5055523’te dağıtıldı. Nisan güncellemesi yeni sorunlar getirdi: Bazı kullanıcılar artık Windows Hello Oturum Açma Arızaları ve Domain Denetleyicileri, Windows Server 2025’i çalıştıran, yeniden başlatıldıktan sonra ulaşılamaz hale gelebilir. Kasım 2024’ün KB5046617 güncellemesinde 256’dan fazla mantıksal işlemciye sahip sistemlerde mavi ekranlara neden olan uzun süreli bir sorun da çözüldü.

Barselona’nın yaklaşık bir saat kuzeyindeki Katalonya kıyı kasabası, isimler, doğum tarihleri, bankacılık bilgileri ve konut mülkiyeti durumu gibi verilerin hırsızlığını içeren 21 Nisan fidye yazılımı saldırısının sakinlerini bilgilendirdi. Mataró Water şirketi, bilgisayar korsanlarının Pazartesi günü şifrelediğini söyledi – ancak olayın su teslimatını etkilemediğini söyledi.

Kaliforniya Blue Shield, federal düzenleyicilere, 4,7 milyon kişinin şirketin şirketin web sitelerindeki çevrimiçi izleme araçlarını daha önce kullanmasını içeren bir ihlalden etkilendiğini bildirdi.

Nisan ayı başlarında Blue Shield, Şubat ayında şirketin, Google Analytics’in çevrimiçi izleme araçlarının sigorta şirketlerinin web sitelerinde yapılandırılması nedeniyle reklam amaçlı sağlık planı üyelerinin yaklaşık üç yıl boyunca Google ile paylaştığını keşfettiğini söyledi (bakınız: Blue Shield Web İzleyicileri, PHI Üyesini Google reklamlarına paylaştı).

Çarşamba günü, Kaliforniya’dan Blue Shield olarak iş yapan California Doktorları hizmeti, son haftalarda çevrimiçi izleme olayını içeren en az beş federal sınıf eylem davası ile karşılaştı.

Bu, Salı günü Blue Shield’in Blue Shield’ın web siteleriyle etkileşime girdiğinde ve gömülü kodlarla etkileşime girdiğinde Elektronik İletişim Gizlilik Yasası’nı ihlal ettiğini iddia eden bir şikayeti de içeriyor.

Dava, Blue Shield’ın davacı veya sınıf üyelerinin iletişimlerinin yetkileri olmadan daha fazla açıklamasını yapmasını yasaklamak da dahil olmak üzere, mali zararların yanı sıra ihtiyati tedbirin yanı sıra ihtiyati tedbir alıyor.

Abilene, Teksas, bir siber saldırı dahili sunucu sorunlarına neden olduktan sonra Cuma günü kilit sistemleri kapattı. Şehir yetkilileri olay müdahale planını etkinleştirdi, bağlantısı kesildi ve siber güvenlik uzmanlarını getirdi. Acil servisler faaliyete geçiyor, ancak bazı sistemler hala çevrimdışı. Hiçbir finansal düzensizlik tespit edilmedi. Geç ödemeler için kamu hizmeti kapatmaları duraklatılır. Şehir tam iyileşme üzerinde çalışıyor.

Güney Kore’nin en büyük mobil operatörü SK Telecom, Cumartesi günü hassas abone kimlik modülleriyle ilgili verileri ortaya çıkaran bir kötü amaçlı yazılım saldırısı tespit etti. Şirket kötü amaçlı yazılımları kaldırdı, tehlikeye atılmış sistemleri izole etti ve olayı düzenleyicilere bildirdi. Sızan verilerin kötüye kullanılması onaylanmamış olsa da, IMSI, MSISDN ve kimlik doğrulama anahtarları dahil olmak üzere, gözetim veya SIM -SWAP saldırıları için kullanılabilir. Buna karşılık, SK Telecom geliştirdi, şüpheli SIM swaplarını engelledi ve kullanıcıları USIM korumasını sağlamaya çağırdı.

Kuzey Koreli operatörler, uluslararası şirketlerde uzaktan BT pozisyonları elde etmek için gerçek zamanlı DeepFake teknolojisini kullanıyor, Palo Alto Networks birim 42 uyardı. Sadece minimal deneyim ve uygun fiyatlı araçlarla, bireyler bir saatten biraz daha uzun bir sürede ikna edici sentetik kimlikler yaratabilirler.

Kuzey Koreli operatörler, video röportajları sırasında, genellikle farklı fabrikasyonlu kişilerde özdeş sanal arka planlar kullanarak derin dişli kullanıyor. Gömülü olduktan sonra, hassas verileri dışarı atabilir, yetkisiz araçlar dağıtabilir ve hatta kötü amaçlı kod ekleyebilirler.

Palo Alto, şirketlerin işe alım ve güvenlik önlemlerini geliştirmesini önerdi. Öneriler arasında çok katmanlı kimlik doğrulaması uygulanması, çalışan yaşam döngüsü sırasında anomalilerin izlenmesi ve İK ekiplerinin ortaya çıkan tehditler hakkında eğitilmesi yer alır. Deepfake teknolojisi giderek daha sofistike hale geldikçe, kuruluşlar uyanık kalmalıdır.

Geçen haftadan diğer hikayeler

Bilgi Güvenliği Medya Grubu’nun Güney İngiltere’deki Akshaya Asokan, Boston Exurbs’taki Marianne Kolbasuk McGee ve Kuzey Virginia’daki David Perera’nın raporlarıyla.