Şubat ayında güvenlik uzmanları, Microsoft Ortak Günlük Dosya Sisteminde (CLFS) sıfır gün güvenlik açığı kullanan bir saldırı keşfetti.
Bir siber suçlu grubu, Windows 11 de dahil olmak üzere Windows işletim sisteminin farklı sürümleri ve yapıları için geliştirilmiş bir açıktan yararlandı ve Nokoyawa fidye yazılımını dağıtmaya çalıştı.
Microsoft, CVE-2023-28252’yi bu güvenlik açığına atadı ve Salı Yaması’nın bir parçası olarak bugün yama yaptı.
Tehdit aktörü ayrıca, Orta Doğu ve Kuzey Amerika’da ve daha önce Asya’da bulunan farklı küçük ve orta ölçekli işletmelere yönelik saldırılarda benzer ayrıcalık yükseltme istismarları gerçekleştirmeye çalıştı.
Kaspersky araştırmacıları tarafından keşfedilen güvenlik açıklarının çoğu APT’ler tarafından kullanılırken, bunun fidye yazılımı saldırıları gerçekleştiren gelişmiş bir grup tarafından siber suç amacıyla kullanıldığı ortaya çıktı.
Bu grup, benzer ancak benzersiz Ortak Günlük Dosya Sistemi (CLFS) istismarlarının kullanımıyla öne çıkıyor. Kaspersky, bu türden en az beş farklı istismar gördü.
Perakende ve toptan satış, enerji, imalat, sağlık, yazılım geliştirme ve diğer sektörlere yönelik saldırılarda kullanıldılar.
Microsoft, keşfedilen sıfır gün için CVE-2023-28252’yi atadı. Bu, bu alt sistem tarafından kullanılan dosya biçimlerinin değiştirilmesiyle tetiklenen Ortak Günlük Dosya Sistemi ayrıcalık yükselmesi güvenlik açığıdır.
Araştırmacılar, Orta Doğu ve Kuzey Amerika bölgelerindeki farklı küçük ve orta ölçekli işletmelere ait Microsoft Windows sunucularında benzer ayrıcalık yükseltme istismarlarını gerçekleştirmeye yönelik bir dizi ek denetimin sonucunda güvenlik açığını Şubat ayında ortaya çıkardı.
CVE-2023-28252, ilk olarak siber suçluların Nokoyawa fidye yazılımının daha yeni bir sürümünü dağıtmaya çalıştığı bir saldırıda tespit edildi.
Bu fidye yazılımının eski varyantları, JSWorm fidye yazılımının yalnızca “yeniden markalanmış” varyantlarıydı, ancak yukarıda belirtilen saldırıda Nokoyawa varyantı, kod tabanı açısından JSWorm’dan oldukça farklıydı.
Saldırıda kullanılan istismar, Windows 11 dahil olmak üzere Windows işletim sisteminin farklı sürümlerini ve yapılarını desteklemek için geliştirildi.
Saldırganlar, ayrıcalıkları yükseltmek ve Güvenlik Hesabı Yöneticisi (SAM) veritabanından kimlik bilgilerini çalmak için CVE-2023-28252 güvenlik açığını kullandı.
“Siber suç grupları, saldırılarında sıfırıncı gün istismarlarını kullanarak giderek daha karmaşık hale geliyor. Küresel Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Boris Larin, “Önceden, öncelikle Gelişmiş Kalıcı Tehdit aktörlerinin (APT’ler) bir aracıydı, ancak şimdi siber suçlular sıfır-gün elde etme ve bunları saldırılarda rutin olarak kullanma kaynaklarına sahip” dedi. Harika).
Ayrıca, onlara yardım etmeye ve istismardan sonra istismar geliştirmeye istekli istismar geliştiricileri de vardır. İşletmelerin Microsoft’tan en son yamayı mümkün olan en kısa sürede indirmeleri ve EDR çözümleri gibi diğer koruma yöntemlerini kullanmaları çok önemli,” diye ekledi Larin.
Kuruluşunuzu yukarıda belirtilen güvenlik açığından yararlanan saldırılardan korumak için uzmanlar şunları önermektedir:
- Microsoft Windows’unuzu mümkün olan en kısa sürede güncelleyin ve bunu düzenli olarak yapın
- İstismar önleme, davranış algılama ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoru tarafından desteklenen Endpoint Security for Business gibi güvenilir bir uç nokta güvenlik çözümü kullanın.
- Anti-APT ve EDR çözümlerini kurun, tehdit keşfi ve tespitine, soruşturmaya ve olayların zamanında düzeltilmesine yönelik yetenekler sağlayın. SOC ekibinize en son tehdit istihbaratına erişim sağlayın ve onlara profesyonel eğitimle düzenli olarak beceri kazandırın.