Microsoft, saldırganların QakBot ve diğer kötü amaçlı yazılım yüklerini duyarlı Windows sistemlerine dağıtmak için kullandığı sıfır gün güvenlik açığını düzeltti.
CVE-2024-30051 olarak tanımlanan bu güvenlik açığı, Masaüstü Pencere Yöneticisi (DWM) çekirdek kitaplığında yığın tabanlı arabellek taşmasından kaynaklanan bir ayrıcalık yükseltme kusurudur. Microsoft, başarılı bir şekilde yararlanmanın saldırganlara “SİSTEM ayrıcalıkları” verdiğini söyledi.
“Bu tür hatalar genellikle bir hedefi ele geçirmek için kod yürütme hatasıyla birleştirilir ve genellikle fidye yazılımları (aktörler) tarafından kullanılır.” dedi Sıfır Gün Girişimi’nden Dustin Childs.
Windows Vista’da tanıtılan Masaüstü Pencere Yöneticisi (dwm.exe), şeffaf pencereler, canlı görev çubuğu küçük resimleri, Flip3D ve hatta yüksek çözünürlüklü monitör desteği gibi Windows’taki tüm GUI efektlerini işleyen bir birleştirme pencere yöneticisidir.
Uygulamalar doğrudan ekrana çizim yapmaz. Bunun yerine pencere görüntülerini hafızadaki belirli bir noktaya yazıyorlar. Windows daha sonra monitöre göndermeden önce tüm bu pencereleri birleştirir ve tek bir görünümde bir “bileşik” oluşturur. Bu, Windows’un pencereleri görüntülerken şeffaflık ve animasyon gibi efektler eklemesine olanak tanır.
Kaspersky araştırmacıları, CVE-2023-36033 olarak takip edilen ve yine saldırılarda sıfır gün olarak kullanılan başka bir Windows DWM Çekirdek Kitaplığı ayrıcalık yükseltme hatasını araştırırken bu güvenlik açığını ortaya çıkardı.
Kaspersky araştırmacıları, son açıklardan yararlanmalar ve ilgili saldırılarla ilgili verileri analiz ederken, 1 Nisan’da VirusTotal’a yüklenen ilgi çekici bir dosya keşfetti. Dosyanın adı, Windows’taki bir güvenlik açığıyla ilgili ayrıntıları içerdiğini ima ediyordu.
Dosyada, ayrıcalıkları SİSTEM düzeyine yükseltmek için kullanılabilecek bozuk İngilizce yazılmış bir Windows DWM güvenlik açığı hakkında bilgi vardı; yararlanma süreci neredeyse CVE-2023-36033 saldırılarında kullanılanı yansıtıyordu, “ancak güvenlik açığı farklıydı, ”dedi araştırmacılar.
Başlangıçta belgenin kalitesi ve güvenlik açığından yararlanma konusunda önemli ayrıntıların bulunmaması nedeniyle şüpheci davranan daha sonraki araştırmalar, ayrıcalık yükseltme kapasitesine sahip başka bir sıfır gün güvenlik açığının meşruiyetini doğruladı. Kaspersky bunu derhal Microsoft’a bildirdi; bu da CVE-2024-30051 olarak belirlenmesine ve ardından bu ayın Salı Yaması’nda yama uygulanmasına yol açtı.
Sıfır Gün, QakBot Tarafından İstismara Uğradı
Microsoft’a yapılan bildirimin ardından Kaspersky, bu kusurdan yararlanan açıkları ve saldırıları izlemeye devam etti.
“Nisan ortasında bu sıfır gün güvenlik açığına yönelik bir istismar keşfettik. Bunun QakBot ve diğer kötü amaçlı yazılımlarla birlikte kullanıldığını gördük ve birden fazla tehdit aktörünün buna erişebildiğine inanıyoruz.” Kaspersky dedi.
Childs, Google Tehdit Analizi Grubu, DBAPPPSecurity WeBin Lab ve Google’a ait Mandiant’taki güvenlik araştırmacılarının da sıfır günü Microsoft’a bildirdiğini ve kötü amaçlı yazılım saldırılarında muhtemelen yaygın istismara işaret ettiğini söyledi.
“Tersine mühendislik yapılabilecek bir yama mevcut olduğundan kötüye kullanımların artması muhtemel olduğundan, bu güncellemeyi test etmek ve dağıtmak için beklemeyin.” dedi Childs.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı da CVE-2024-30051’i Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi ve tüm federal kurumlara yama işlemini 4 Haziran’a kadar tamamlamaları talimatını verdi.
Kaspersky, kullanıcılar Windows sistemlerini güncellemek için yeterli zamana sahip olduktan sonra CVE-2024-30051’in teknik özelliklerini açıklamayı planlıyor.
QakBot’un Bankacılık Trojanından İlk Erişim Aracısına Yolculuğu
Qbot olarak da bilinen QakBot, 2008 yılında bir bankacılık truva atı olarak ortaya çıktı ve finansal dolandırıcılık yapmak amacıyla kimlik bilgilerini, web sitesi çerezlerini ve kredi kartlarını çalmak için bir bankacılık truva atı olarak kullanıldı. QakBot operatörleri, yıllar içinde fidye yazılımı saldırıları, casusluk ve veri hırsızlığı için kurumsal ve ev ağlarına ilk erişimi sağlamak amacıyla diğer tehdit gruplarıyla ortaklık kurarak ilk erişim aracılarına dönüştü.
QakBot’un altyapısı, FBI’ın öncülük ettiği ve “Ördek Avı Operasyonu” olarak bilinen çok uluslu bir emniyet operasyonunun ardından Ağustos 2023’te kapatıldı. Ancak Microsoft tanımlanmış Aralık ayında konaklama sektörünü hedef alan kimlik avı kampanyalarında QakBot’un yeniden canlanması.
Kolluk kuvvetleri, QakBot enfeksiyonlarını, dünya çapındaki işletmeleri, sağlık hizmeti sağlayıcılarını ve devlet kurumlarını hedef alan fidye yazılımı saldırıları da dahil olmak üzere 700.000 kurban bilgisayarına bağladı; muhafazakar tahminlere göre bu saldırılar, yüz milyonlarca dolarlık hasara neden oldu.
Yıllar boyunca Qakbot, Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex ve en son Black Basta dahil olmak üzere çeşitli fidye yazılımı çeteleri ve bağlı kuruluşları için ilk enfeksiyon vektörü olarak hizmet etti.
Başka bir Sıfır Gün Düzeltmesi
Microsoft, Mayıs 2024 Yaması Salı sürümünde, biri “kritik”, 57’si “önemli” ve biri “orta” olarak derecelendirilen 59 CVE’yi yamaladı.
Yama aynı zamanda QakBot tarafından istismar edilenin dışındaki başka bir sıfır gün kusuru için de bir düzeltme içeriyor. CVE-2024-30040 olarak takip edilen diğer hata, CVSS ölçeğinde “önemli” olarak derecelendiriliyor ve Windows MSHTML platformu güvenlik özelliği atlama güvenlik açığıdır. MSHTML, Internet Explorer’ın Microsoft Windows sürümü için özel bir tarayıcı motorudur.
“Bu güvenlik açığı, Microsoft 365 ve Microsoft Office’teki kullanıcıları güvenlik açığı bulunan COM/OLE denetimlerinden koruyan OLE azaltımlarını atlıyor.” Microsoft dedi.
Bir kurbana kötü amaçlı bir belgeyi açması için sosyal mühendislik uygulayan bir bilgisayar korsanı, Microsoft’un ofis uygulamaları paketindeki OLE azaltımlarını geçirerek isteğe bağlı kod çalıştırabilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.