Bilgisayar korsanları, büyük avantajlar sundukları için Windows’un sıfır gün güvenlik açıklarından yararlanıyor.
Bu, yazılım satıcılarının bunlardan haberi olmadığı için sıfır gün güvenlik açıklarına yönelik herhangi bir yama veya savunmanın mevcut olmadığı anlamına gelir; dolayısıyla bilgisayar korsanlarının, güvenlik açığı bulunup durdurulmadan önce saldırılarına başlamak için belirli bir süreleri vardır.
Bu kusurlardan yararlanmak, bilgisayar korsanlarının birçok kullanıcıya erişmesine, önemli verilere erişmesine veya sistemleri ele geçirmesine olanak tanır.
Kaspersky’deki siber güvenlik araştırmacıları yakın zamanda QakBot kötü amaçlı yazılımının sistem ayrıcalıkları kazanmak için Windows sıfır gününü aktif olarak kullandığını tespit etti.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
QakBot Kötü Amaçlı Yazılımı Windows Sıfır Gününü İstismar Ediyor
Kaspersky araştırmacıları, Nisan 2024’ün başlarında, daha önce açıklanan Windows DWM Çekirdek Kitaplığı EoP güvenlik açığı CVE-2023-36033’ü araştırırken, 1 Nisan tarihli, yama yapılmamış bir Windows Masaüstü Pencere Yöneticisi (DWM) güvenlik açığını açıklayan bir VirusTotal belgesi keşfetti. sistem ayrıcalık yükseltmesi.
Düşük yazım kalitesine ve eksik kullanım ayrıntılarına rağmen analiz bunun yeni bir “sıfır gün” olduğunu doğruladı.
Kaspersky bulgularını Microsoft’a bildirdi; bu durum “CVE-2024-30051” olarak adlandırılmasına ve o ayın Salı Yaması güncellemelerinin bir parçası olarak 14 Mayıs 2024’te bir yama yayınlanmasına yol açtı.
Windows DWM sıfır gün CVE-2024-30051’i Microsoft’a bildirdikten sonra Kaspersky, ilgili istismarları yakından takip etti.
Nisan ortasında, QakBot ve diğer kötü amaçlı yazılımları dağıtmak için kullanılan bir açıktan yararlanma yöntemi keşfedildi; bu, birden fazla tehdit aktörünün bu güvenlik açığına erişimi olduğunu gösteriyor.
Kaspersky, kullanıcıların yama yapmak için zamanları olduğunda ve şu anda istismar girişimlerini ve ilgili kötü amaçlı yazılımları aşağıdaki kararlarla tespit ettiklerinde teknik ayrıntıları yayınlamayı planlıyor: –
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
Kullanıcıları ve sistemleri korumak, sıfır gün güvenlik açıklarının ve yamaların sorumlu bir şekilde ifşa edilmesini gerektirir.
Ancak bu sıfır günün, QakBot gibi kötü amaçlı yazılım dağıtan birden fazla tehdit aktörü tarafından hızla istismar edilmesi, kullanıcıların ve kuruluşların neden dikkatli olmaları ve güvenlik güncellemelerini derhal uygulamaları gerektiğini de vurguluyor.
Yamaların yüklenebilmesi için sıfır günü azaltmak için güvenlik araştırmacılarının sürekli izleme ve davranış tabanlı algılama yeteneklerini kullanması gerekir.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free