Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Microsoft, Başka Bir SmartScreen İmza Tabanlı Güvenlik Açığı Düzeltiyor
Akşaya Asokan (asokan_akshaya) •
16 Mart 2023
Finansal amaçlı bir bilgisayar korsanlığı grubu, fidye yazılımı dağıtmak için Windows işletim sistemindeki artık yama uygulanmış bir sıfır gün güvenlik açığından yararlanıyor.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
Google Tehdit Analizi Grubu, kampanyayı, Microsoft’un en son aylık düzeltme dökümünün bir parçası olarak güvenlik açığı için yamayı yayınlamasından sıfır gün önce yararlanmaya başladığını söylediği Magniber fidye yazılımı grubuna bağladı.
CVE-2023-24880 olarak izlenen güvenlik açığı, Microsoft’un Windows ve Microsoft Edge gibi ürünlerde bir uç nokta koruma hizmeti olarak şirket tarafından katıştırılmış kimlik avı ve kötü amaçlı yazılımdan koruma bileşeni SmartScreen Security’yi etkileyen orta düzeyde ciddi bir kusurdur.
Magniber, Microsoft Yazılım Yükleyici dosyalarını hatalı biçimlendirilmiş imzayla imzalayarak teslim eder. Dosya, yürütülürken uygulamada bir hatayı tetikler ve Microsoft’un internetten indirilen güvenilmeyen dosyaların yürütülmesine karşı uyarısını atlayan bir hataya neden olur.
Google TAG, bu yılın başından bu yana, çoğu Avrupa’daki cihazlar tarafından indirilen 100.000’den fazla kötü amaçlı MSI dosyası indirildiğini gözlemledi. TAG, bunun daha önce Güney Kore ve Tayvan’daki kurbanlara odaklanan Magniber için hedeflerdeki bir değişiklik olduğunu söylüyor.
En son kampanyasından önce aynı tehdit grubu, CVE-2022-44698 olarak izlenen başka bir SmartScreen baypas güvenlik açığından yararlandı. Bilgisayar korsanlarının MSI yerine Javascript dosyalarını kullandığı sırada, kampanyayı tespit eden HP tehdit araştırmacıları yazdı.
Google, Kasım 2022 Qakbot kampanyalarının arkasındaki operatörler tarafından kullanılan hatalı biçimlendirilmiş Windows imzalarının, Magniber’in önceki kampanyasına benzediğini ve “iki operatörün baypasları aynı sağlayıcıdan satın aldığını veya birbirlerinin tekniğini kopyaladığını gösteriyor” diyor.
Google, Microsoft’un imza tabanlı SmartScreen baypası için birden çok düzeltme yapmak zorunda kalması, yamalar ikilemini vurguluyor. Microsoft gibi yazılım geliştiricileri, acil sorunu gideren hedefli, güvenilir bir düzeltme yayınlamalı mı? Ancak asıl neden de düzeltilmedikçe, bilgisayar korsanları yeni saldırılar keşfetmek için tekniklerini yineleyebilir.