Microsoft’ta bir sıfırıncı gün güvenlik açığının siber casusluk için kullanıldığı tespit edildi.
CVE-2023-36884, uzaktan kod yürütülmesine neden olabileceği için ciddiyeti açısından önemli olarak işaretlendi. Microsoft sıfır gün güvenlik açığından yararlanma siber suç grubu Storm-0978 tarafından yapıldı.
Microsoft sıfır gün güvenlik açığından yararlanma hakkında ayrıntılar
Bir Cyble blogunda, CVE-2023-36884’ün Storm-0978 tarafından orijinal yazılım yükleyicileri çoğaltmak için tasarlanmış kimlik avı web siteleri kullanılarak istismar edildiği belirtildi. Storm-0978, Ukrayna hükümeti ve askeri kuruluşlara ait verilere erişmeyi amaçlıyordu.
Office belgesini içeren kimlik avı e-postası, uzaktan kod yürütmeyi etkinleştirdi. Bununla birlikte, istismarın çalışması için, kullanıcıların ofis belgesini açmaları gerekiyordu ve bu belge onsuz geçerli olmayacaktı. Yemler, Ukrayna Dünya Kongresi etrafında hazırlandı.
Yukarıdaki MS Word belgesi örneği, hedefler arasında dolaştırıldı. NATO Zirvesi ile uyumlu hale getirmek için yazılmıştır.
Bilgisayar korsanları, Ukrayna Savunma Bakanlığı’ndan kişilerin hesaplarının oturum açma kimlik bilgilerini çalmak için RomCom adlı bir kötü amaçlı yazılım kullandı.
Avrupa ve Kuzey Amerika’daki savunma ve devlet kurumlarına virüslü PDF ekleri içeren kimlik avı e-postaları göndermek için hesap erişiminden yararlandılar.
Microsoft sıfır gün güvenlik açığı, Haziran 2023’ten beri yama uygulanmamış sistemlerde kullanılıyor. Microsoft, sıfır gün güvenlik açığından yararlanan kampanyayı 2022’nin sonlarından beri izlediklerini duyurdu.
RomCom, Microsoft sıfır gün güvenlik açığı ve Rusya
CVE-2023-36884, Rusya’dan faaliyet gösteren bilgisayar korsanlarının komuta ve kontrol sunucusuna bir arka kapı eklenmesine izin verdi. Bilgisayar korsanları, Endüstriyel Casus Ransomware ile bağlantılı olan ‘Underground Ransomware’ adlı fidye yazılımını da kullandı.
Storm-0978, diğerleri arasında Adobe ürünleri, SolarWinds Ağ Performans İzleyicisi, Signal ve Gelişmiş IP Tarayıcı için gerçek web sitelerini taklit eden kimlik avı siteleri kullandı. Fidye yazılımı ve gasp operasyonları dahil olmak üzere suçlar işlediler.
Microsoft sıfır gün güvenlik açığı hakkında ne dedi?
Microsoft, Haziran 2023’te casusluk posta etkinliğini müşteri raporları aracılığıyla öğrendi.
Yapılan incelemelerin ardından zafiyetin istismar edilmesinin 25’e yakın kuruluşun ele geçirilmesine yol açtığı öğrenildi.
Bilgisayar korsanları, bir Microsoft hesabı aracılığıyla sahte kimlik doğrulama belirteçleri kullanarak 25 devlet kuruluşundan olması muhtemel kişilerin e-posta hesaplarına erişim sağladı.
Temmuz Yaması Salı, bir Office ve Windows HTML uzaktan kod yürütme kusuru olan Microsoft sıfır gün güvenlik açığını ele aldı.
Benzer tehditleri önlemek için alınacak hafifletme ve siber güvenlik önlemleri
Microsoft sıfır gün güvenlik açığından yararlanmaya karşı dikkatli olmak için, kullanıcılardan tüm Office uygulamalarının alt süreçler oluşturmasını kısıtlamaları istenir. Bu seçeneği kullanamayanlar, kayıt defteri anahtarını yapılandırabilirler – FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
Benzer kimlik avı kampanyalarının tuzağına düşmemek için, sistemin ifşa olmasını önlemek için sistem ayarlarında değişiklik yapmak önemlidir. Cyble, kullanıcılar için aşağıdaki adımları kaydetti –
- Yaş, güvenilenler listesi vb. ölçütleri karşılamıyorsa yürütülebilir dosyaları engellenecek şekilde işaretleyin.
- Muhtemelen farklı bir ağda yedekleri saklayın ve çevrimdışı yedeklemeleri koruyun.
- Otomatik yazılım güncellemelerinin ayarlandığından emin olun. Otomatik olarak yüklenmeyen güncellemeler için düzenli olarak kontrol edin.
- Kimlik avı önleme araçlarının bakımını yapın ve çalışanların yaygın ve son zamanlardaki kimlik avı kampanyalarından haberdar olmasını sağlayın.
- Bir fidye yazılımı saldırısı tespit edilmesi durumunda, sistem günlüklerini inceleyin ve harici depolama sistemlerinin bağlantısını kesin.