Bu hafta başlarında Microsoft’un en son Salı Yaması güncellemesinde ifşa edilen ve yamalanan Microsoft Outlook’taki ciddi bir ayrıcalık yükselmesi (EoP) güvenlik açığı, büyük olasılıkla en az 12 aydır Rus devlet destekli tehdit aktörleri tarafından Ukrayna hedeflerine karşı istismar edildi.
Google Mandiant İstihbarat Analizi başkanı John Hultquist, kamuoyuna açıklanmasının ardından, CVE-2023-23397’nin çok sayıda ulus devlet ve muhtemelen fidye yazılımı çeteleri de dahil olmak üzere finansal olarak motive olmuş aktörler tarafından geniş ve hızlı bir şekilde benimsenmesini beklediğini söyledi. Önümüzdeki günlerde ve haftalarda, bu grupların, hedef sistemlerde bir yer edinmek için yama yapılmadan önce güvenlik açığından yararlanmak için bir yarışa girecekleri konusunda uyardı. Computer Weekly, kavram kanıtı istismarlarının halihazırda dolaşımda olduğunu anlıyor.
“Bu, agresif, yıkıcı ve yıkıcı siber saldırıların Ukrayna ile sınırlı kalmayabileceğinin bir başka kanıtı ve her şeyi göremeyeceğimizin bir hatırlatıcısı” dedi. “Saldırılara hazırlık, saldırıların yakın olduğunu göstermese de, jeopolitik durum bizi duraksatmalı.
“Bu aynı zamanda, bu çatışmayla ilgili her şeyi göremeyeceğimizi de hatırlatıyor. Bunlar casus ve ihbarımızdan başarıyla kaçmak konusunda uzun bir geçmişe sahipler,” dedi Hultquist. “Bu bir yayılma olayı olacak. Bu, kısa vadede refah içinde olacak ulus-devlet aktörleri ve benzer suçlular için mükemmel bir araçtır. Yarış çoktan başladı.”
CVE-2023-23397’nin istismarı, kurbana özel olarak hazırlanmış bir e-postanın gönderilmesiyle başlar, ancak sunucu tarafında tetiklendiği için e-posta açılıp görüntülenmeden istismar edilebilir.
Bu e-posta, saldırganın kontrol ettiği bir sunucudaki Sunucu İleti Bloğu (SMB) paylaşımına giden bir Evrensel Adlandırma Kuralı yolu içeren genişletilmiş bir Mesajlaşma Uygulama Programlama Arayüzü özelliği ile hazırlanmış olacaktır.
Bu e-posta alındığında, saldırganın SMB paylaşımına bir bağlantı açılır ve kurbanın Windows New Technology LAN Manager kimlik doğrulama protokolü bir anlaşma mesajı gönderir. Bu da saldırgan tarafından kurbanın Net-NTLMv2 sağlamasını keşfetmek, çıkarmak ve kurbanın ortamındaki diğer sistemlere iletmek için görülebilir ve kullanılabilir, kimlik bilgilerine sahip olmaya gerek kalmadan güvenliği ihlal edilmiş kullanıcı olarak kurbanın kimliğini doğrular .
Bu şekilde, saldırgan sadece hedef ortamında bir dayanak elde etmekle kalmaz, aynı zamanda yanal harekete başlayabilir. Mandiant, kullanıcı etkileşimi olmadan ayrıcalıkları yükseltmek için kullanılabilmesi nedeniyle bunu yüksek riskli bir güvenlik açığı olarak görüyor.
Microsoft araştırmacılarının yanı sıra Ukrayna’nın ulusal Bilgisayar Acil Durum Müdahale Ekibi (CERT) CERT-UA tarafından keşfedildi ve Mandiant’a göre geçtiğimiz yıl Rusya tarafından Ukrayna’daki kuruluşları ve kritik altyapıyı hedeflemek için yaygın olarak kullanıldı. istihbarat toplama hizmeti ve ülkeye yıkıcı ve yıkıcı saldırılar.
Mandiant ayrıca Polonya, Romanya ve Türkiye’de savunma, hükümet, petrol ve gaz, lojistik ve ulaşım sektörlerindeki hedeflere yönelik saldırılarda kullanıldığını gördü.
Mandiant’ın araştırma ekibi, Fancy Bear veya Strontium olarak da bilinen Rusya’nın GRU istihbarat teşkilatı tarafından desteklenen gelişmiş bir kalıcı tehdit grubu olan APT28’e geniş çapta atfedilen sıfır-gün istismarını izlemek için yeni bir atama – UNC4697 – yarattı. Bu, daha önce Rusya’nın Uluslararası Olimpiyat Komitesi’ne ve 2016 ve 2020 ABD başkanlık seçimlerine yönelik saldırılarına karışmış yüksek profilli bir tehdit aktörüdür. Sıklıkla GRU aktörü Sandworm ile çalışır.