Microsoft, Nisan 2024 Yaması Salı sırasında aktif olarak yararlanılan iki sıfır gün güvenlik açığını düzeltti, ancak şirket başlangıçta bunları bu şekilde etiketlemeyi başaramadı.
İlki şu şekilde takip edildi: CVE-2024-26234 Proxy sürücüsü sahtekarlığı güvenlik açığı olarak tanımlanan ve Aralık 2023’te Sophos X-Ops tarafından bulunan ve ekip lideri Christopher Budd tarafından bildirilen, geçerli bir Microsoft Donanım Yayımcı Sertifikası kullanılarak imzalanan kötü amaçlı bir sürücüyü izlemek için yayınlandı.
Bu kötü amaçlı dosya, “Katalog Thales” tarafından “Katalog Kimlik Doğrulama İstemci Hizmeti” olarak etiketlendi; bu muhtemelen Thales Group’un kimliğine bürünme girişimiydi. Ancak daha ileri araştırmalar, bunun daha önce LaiXi Android Screen Mirroring adlı bir pazarlama yazılımıyla birlikte sunulduğunu ortaya çıkardı.
Sophos, LaiXi yazılımının gerçekliğini doğrulayamasa da Budd, dosyanın kötü amaçlı bir arka kapı olduğundan emin olduklarını söylüyor.
“Tıpkı 2022’de yaptığımız gibi, bulgularımızı derhal Microsoft Güvenlik Yanıt Merkezi’ne bildirdik. Keşfimizi doğruladıktan sonra Microsoft ekibi, ilgili dosyaları kendi iptal listesine ekledi (olağan Salı Yaması döngüsünün bir parçası olarak bugün güncellendi; bkz. CVE-2024-26234),” dedi Budd.
Sophos’un bulguları, siber güvenlik şirketi Stairwell ve Ocak ayında yayınlanan bir raporda paylaşılan bilgileri doğruluyor ve bunlara dayanıyor. Tersine mühendislik uzmanı Johann Aydınba’nın tweet’i.
Redmond, bugün erken saatlerde piyasaya sürülmesinden bu yana, tavsiye belgesini CVE-2024-26234’ün kullanım durumunu düzeltecek şekilde güncelleyerek, bunun doğada istismar edildiğini ve kamuya açıklandığını doğruladı.
Sophos, Temmuz 2023 ve Aralık 2022’de diğer kötü amaçlı sürücülerin yasal WHCP sertifikalarıyla imzalandığını bildirdi ancak Microsoft, bunlar için bugünkü gibi CVE-ID’ler yayınlamak yerine güvenlik önerileri yayınladı.
Kötü amaçlı yazılım saldırılarında MotW bypass’ından yararlanılıyor
Bugün Microsoft tarafından sessizce yamalanan ikinci sıfır gün şu şekilde izleniyor: CVE-2024-29988 Koruma mekanizması arızası zayıflığından kaynaklanan SmartScreen istemi güvenlik özelliği atlama güvenlik açığı olarak tanımlanır.
CVE-2024-29988, CVE-2024-21412 kusuruna yönelik bir bypasstır ve Trend Micro’nun Sıfır Gün Girişimi’nden Peter Girnus ve Google’ın Tehdit Analizi Grubu Dmitrij Lenz ve Vlad Stolyarov tarafından rapor edilmiştir.
ZDI’nin Tehdit Farkındalığı Başkanı Dustin Childs, bunun EDR/NDR tespitinden kaçtıktan ve Web İşareti (MotW) özelliğini atladıktan sonra hedeflenen Windows sistemlerine kötü amaçlı yazılım dağıtmak için yapılan saldırılarda aktif olarak kullanıldığını belirtti.
Childs, BleepingComputer’a şunları söyledi: “Bu güvenlik açığı, ZDI tehdit araştırmacıları tarafından yaygın olarak keşfedilen ve ilk olarak Şubat ayında ele alınan CVE-2024-21412 ile ilgilidir.”
“İlk yama, güvenlik açığını tamamen gidermedi. Bu güncelleme, yararlanma zincirinin ikinci kısmını ele alıyor. Microsoft, bu güvenlik açığını düzelttiklerini belirtmedi, bu nedenle yamanın yayına girmesi (hoş geldiniz) bir sürpriz oldu.”
CVE-2024-29988’den yararlanan mali motivasyonlu Water Hydra hack grubu, DarkMe uzaktan erişim truva atını kullanan hedef odaklı kimlik avı saldırılarında forex ticaret forumlarını ve hisse senedi ticareti Telegram kanallarını hedeflemek için Yeni Yıl Arifesinde CVE-2024-21412’yi sıfır gün olarak kullandı. (FARE).
CVE-2024-21412’nin kendisi, CVE-2023-36025 olarak takip edilen, Kasım 2023 Yaması Salı sırasında yamalanan ve Phemedrone kötü amaçlı yazılımını düşürmek için sıfır gün olarak kullanılan başka bir Defender SmartScreen güvenlik açığı için bir bypasstı.
Bugün Microsoft, Nisan 2024 Salı Yaması kapsamında 150 güvenlik açığı için güvenlik güncellemesi yayınladı; bunların 67’si uzaktan kod yürütme hatasıydı.
Bir Microsoft sözcüsü bugün erken saatlerde BleepingComputer ile iletişime geçtiğinde hemen bir açıklama yapamadı.