Microsoft, Temmuz Yaması Salı güncellemesinde 100’den fazla diğer güvenlik açığının yanı sıra, Rus istihbarat servisleriyle bağlantılı olduğu iddia edilen bir grup tarafından aktif sömürü altında potansiyel olarak ciddi bir uzaktan kod yürütme (RCE) sıfır gününü ifşa etti, ancak şirket henüz açıklamadı. bunun için gerçek bir yama yayınladı.
Kritik bir güvenlik açığı olarak görülmese de, kusurun Microsoft’un Storm-0978 olarak izlediği bir grup tarafından kullanılması, arka kapı kötü amaçlı yazılımından sonra RomCom olarak da bilinir, Redmond’un güvenlik ekiplerinin önleyici eylemde bulunmasına neden olmuş gibi görünüyor.
Söz konusu güvenlik açığı CVE-2023-36884 olarak izleniyor. Birden çok Windows, Windows Server ve Office sürümü dahil olmak üzere toplam 41 ürünü etkiler ve yetkisiz bir aktörün kurbanları bağlamında RCE yetenekleri elde etmesine izin verecek özel hazırlanmış bir Word belgesi kullanılarak başarıyla kullanılabilir. eğer kurban, kötü amaçlı dosyayı açmaya ikna edilebilir.
Microsoft şunları söyledi: “Bu soruşturmanın tamamlanmasının ardından Microsoft, müşterilerimizi korumaya yardımcı olmak için uygun eylemi gerçekleştirecektir. Bu, müşteri ihtiyaçlarına bağlı olarak aylık yayınlama sürecimiz aracılığıyla bir güvenlik güncellemesi sağlamayı veya döngü dışı bir güvenlik güncellemesi sağlamayı içerebilir.”
Storm-0978’in, Yeraltı dolabını kullanarak fırsatçı, mali amaçlı fidye yazılımı saldırıları ve yalnızca gasp operasyonlarının yanı sıra hedefli kimlik bilgisi toplama operasyonları gerçekleştirdiği biliniyor, bu da onun Rus istihbarat hedeflerini desteklemek için çalıştığını gösteriyor.
Birçoğu Ukrayna’da olmak üzere birçok hükümet ve askeri hedefi ve ayrıca Avrupa ve Kuzey Amerika’daki kuruluşları vurdu. Mevcut cazibeleri büyük ölçüde Ukrayna siyasi meseleleri, en önemlisi de Kiev’in NATO ittifakına katılma girişimleri etrafında şekilleniyor.
Microsoft, Storm-0978’in potansiyel etkisini azaltmak için güvenlik ekipleri için bir azaltma listesi yayınladı. Özellikle CVE-2023-36884 için, Tüm Office uygulamalarının alt işlemler oluşturmasını engelle saldırı yüzeyi azaltma kuralının kullanılması veya bu yapılamazsa, istismarı önlemek için FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kayıt defteri anahtarının ayarlanması önerilir, ancak bunu yapmak neden olabilir bazı işlevsellik sorunları. Office 365 için Microsoft Defender kullanıcılarının artık bu hatayı kullanan kötü amaçlı eklere karşı korunduğunu unutmayın.
Rapid7 güvenlik açığı ve risk yönetimi başkanı Adam Barnett, birçok savunucunun acil bir yama olmamasından anlaşılır bir şekilde rahatsız olacağını söyledi.
“Gelecek ayki Salı Yaması’nın bir parçası olarak bir yama yayınlanması mümkün olsa da, Microsoft Office hemen hemen her yerde kullanılıyor ve bu tehdit aktörü dalga dalga yayılıyor; yöneticiler, CVE-2023-26884 için döngü dışı bir güvenlik güncellemesine hazır olmalıdır,” dedi Barnett.
Temmuz güncellemesindeki diğer sıfır günler, bu ay ele alınan toplam 130 farklı güvenlik açığının ortasında geliyor; bu, son zamanlara göre önemli ölçüde daha yüksek bir hacim, ancak Zero Day Initiative’den Dustin Childs’a göre, olası maskaralıklar göz önüne alındığında, ille de sıra dışı değil. yıllık Black Hat USA konferansına bir aydan daha kısa bir süre kaldı.
Sıfır günler, CVE numara sırasına göre:
- CVE-2023-32046, Windows MSHTML Platformunda bir ayrıcalık yükselmesi (EoP) güvenlik açığı;
- CVE-2023-32049, Windows SmartScreen’de bir güvenlik özelliğini atlama (SFB) güvenlik açığı;
- Microsoft Outlook’ta bir SFB güvenlik açığı olan CVE-2023-35311;
- CVE-2023-36874, Windows Hata Raporlama Hizmeti’ndeki bir EoP güvenlik açığı.
Microsoft ayrıca, kendi Windows Donanım Geliştirici Programı (MWHDP) tarafından sömürü sonrası faaliyetlerde kötü niyetli olarak kullanılan sürücülerin gözlemlenen bir kampanyası için bir danışma belgesi yayınladı, ancak belirli bir CVE ataması yapmadı.
Saldırganların, sürücüleri kullanmadan önce güvenliği ihlal edilmiş sistemlerde yönetici ayrıcalıkları elde ettiği bu kampanya, terimin kimin tanımına abone olduğunuza bağlı olarak altıncı sıfır gün olarak okunabilir.
Microsoft, Şubat ayında Sophos araştırmacıları tarafından bilgilendirildiğinden beri bu sorunu araştırıyor ve Trend Micro ve Cisco Talos’tan gelen diğer raporlar da yardımcı oluyor.
Microsoft İş Ortağı Merkezi’ne (MPC) yönelik birkaç geliştirici hesabının, bir Microsoft imzası almak için kötü amaçlı sürücüler gönderdiğini tespit etti. İlgili tüm bu geliştirici hesapları ve iş ortağı satıcı hesapları askıya alınmıştır.
Etkilenen dosyalar için güvenilmeyen sürücülerin ve sürücü şarkı sertifikalarının olduğu güncellemeler yayınlandı ve müşterileri daha iyi korumak için Microsoft Defender’a engelleme algılamaları eklendi.
Tehdit araştırma direktörü Christopher Budd Sophos X-Ops şunları söyledi: “Geçen yılın Ekim ayından bu yana, fidye yazılımı da dahil olmak üzere çeşitli siber saldırılar gerçekleştirmek için kötü niyetli imzalı sürücülerden yararlanan tehdit aktörlerinde endişe verici bir artış fark ettik. Saldırganların bu saldırı vektöründen yararlanmaya devam edeceğine inandık ve gerçekten de durum böyle oldu.
“Sürücüler genellikle işletim sisteminin ‘çekirdeği’ ile iletişim kurdukları ve güvenlik yazılımından önce yükledikleri için, kötüye kullanıldıklarında, özellikle güvenilir bir yetkili tarafından imzalandıklarında güvenlik korumalarını devre dışı bırakmada özellikle etkili olabilirler. Bulduğumuz kötü amaçlı sürücülerin çoğu, EDR’yi hedef alıp ortadan kaldırmak için özel olarak tasarlandı. [Endpoint Detection and Response] etkilenen sistemleri bir dizi kötü niyetli faaliyete karşı savunmasız bırakıyor” dedi.
“Kötü niyetli bir sürücü için imza elde etmek zordur, bu nedenle bu teknik öncelikle gelişmiş tehdit aktörleri tarafından hedefli saldırılarda kullanılır. Dahası, bu belirli sürücüler satıcıya özel değildir; geniş bir EDR yazılımı yelpazesini hedefliyorlar. Bu nedenle, gerektiğinde ek korumalar uygulayabilmeleri için daha geniş güvenlik topluluğunun farkında olması gerekir. Şirketlerin Microsoft’un bugün yayınladığı yamaları uygulamaları önemlidir” dedi.