ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif sömürü kanıtlarına dayanarak Bilinen Yararlanılan Güvenlik Açıkları (KEV’ler) kataloğuna iki kusur daha ekledi.
Bunlardan biri, Windows Destek Teşhis Aracı’nda (MSDT) Sıfır Gün hatası olarak iki yıldan fazla zaman harcadı ve herkese açık açıklardan yararlanma koduna sahip.
Bu güvenlik sorunlarının her ikisi de yüksek önem puanı almıştır ve saldırganların hedeflenen bir sisteme kötü amaçlı yazılım yerleştirmesine yardımcı olabilecek güvenlik açıklarıdır.
Windows DogWalk güvenlik açığı
CVE-2022-34713 olarak kayıtlı ve gayri resmi olarak DogWalk (Follina’ya benzer) olarak bilinen MSDT’deki güvenlik açığı, bir saldırganın Windows başlangıç klasörüne kötü amaçlı bir yürütülebilir dosya yerleştirmesine olanak tanır.
Sorun ilk olarak Ocak 2020’de araştırmacı Imre Rad tarafından Microsoft’a bildirildi, ancak raporu bir güvenlik riskini açıklamadığı için yanlış sınıflandırıldı ve bu şekilde reddedildi.
Sorun, bu yıl güvenlik araştırmacısı j00sean tarafından, bir saldırganın bunu kullanarak neler başarabileceğini özetleyen ve video kanıtı sağlayan kamuoyunun dikkatine sunuldu:
Microsoft, danışma belgesinde, başarılı bir sömürünün, özellikle e-posta ve web tabanlı saldırılarda, sosyal mühendislik yoluyla üstesinden gelinmesi kolay bir engel olan kullanıcı etkileşimi gerektirdiğini söylüyor. “Bir e-posta saldırısı senaryosunda, bir saldırgan özel hazırlanmış dosyayı kullanıcıya göndererek ve kullanıcıyı dosyayı açmaya ikna ederek bu güvenlik açığından yararlanabilir.”
Web tabanlı saldırı senaryosunda, saldırgan, güvenlik açığından yararlanabilecek özel hazırlanmış bir dosya içeren bir web sitesi barındırabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran güvenliği aşılmış bir web sitesinden yararlanabilir). Microsoft, Windows için Ağustos 2022 güvenlik güncelleştirmelerinin bir parçası olarak Salı günü CVE-2022-34713’ü ele aldı. Şirket, sorunun saldırılarda zaten istismar edildiğini belirtiyor.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.