Nisan 2024’te güvenlik araştırmacıları, daha önce keşfedilip yaygın olarak kullanılan bir Windows DWM Çekirdek Kitaplığı ayrıcalık yükseltme güvenlik açığı olan CVE-2023-36033’ü yeniden ziyaret etti.
Açıklardan yararlanma örnekleri ve potansiyel saldırı vektörleri üzerine yaptıkları araştırmaların bir parçası olarak, 1 Nisan’da VirusTotal’a yüklenen ilginç bir belgeye rastladılar.
Belgenin, şüpheli dosyaları paylaşmaya yönelik bir kötü amaçlı yazılım deposunda bulunması, bir tehlike işaretine neden oldu ve daha fazla analiz yapılmasına yol açtı.
Araştırmacılar, bu belgenin ya CVE-2023-36033’ten yararlanmak için tasarlanmış kötü amaçlı bir veri yükü ya da bu güvenlik açığından yararlanan daha büyük bir kötü amaçlı yazılım saldırısında kullanılan bir bileşen olabileceğinden şüpheleniyordu.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Bir sistemdeki ayrıcalıkları yükseltmek için kullanılabilecek bir Masaüstü Pencere Yöneticisi (DWM) istismarının kötü yazılmış bir açıklamasını içeren, olası bir Windows güvenlik açığını gösteren dosya adına sahip bir belgeyi incelediler.
Yararlanma tekniği CVE-2023-36033’te kullanılana benzese de, belgenin tamamen farklı bir güvenlik açığını tanımladığı ortaya çıktı; bu da belgenin, daha önce keşfedilen CVE’den ayrı, farklı bir saldırı vektörüne sahip yeni bir DWM istismarının ana hatlarını çizebileceğini gösteriyor.
Güvenlik açığı tanımının, istismara yönelik ayrıntılar içermeyen ve var olmayan veya erişilemeyen bir sorunu potansiyel olarak tanımlayan şüpheli doğasına rağmen, araştırmacılar daha fazla araştırma yapmayı tercih etti.
Bu durum tespiti meyvesini verdi ve soruşturma, Windows DWM Çekirdek Kitaplığı’nda meşru bir sıfır gün ayrıcalık yükseltme güvenlik açığını ortaya çıkardı.
Araştırmacılar sorunu derhal Microsoft’a bildirdiler; bu sorun CVE-2024-30051 olarak belirlendi ve ardından 14 Mayıs 2024 Salı Yaması sırasında yama uygulandı.
Araştırmacılar, Windows DWM Çekirdek Kitaplığı’nda sıfır gün ayrıcalık yükselmesi güvenlik açığı (CVE-2024-30051) keşfettiler ve bunu Microsoft’a bildirdiler.
Daha sonra, QakBot gibi kötü amaçlı yazılımlarla birlikte kullanılan bu güvenlik açığından yararlanan istismarlar tespit ettiler; bu da, tehdit aktörleri arasında yaygın erişime işaret ediyor.
Sistem düzeltme eki uygulanmasına izin vermek için, istismar ve güvenlik açığına ilişkin teknik ayrıntılar, bir ek sürenin ardından yayınlanacaktır.
SecureList’e göre Kaspersky, Windows DWM Çekirdek Kitaplığı’nda sıfır gün ayrıcalık yükseltme güvenlik açığı (CVE-2024-30051) tespit etti ve bildirdi.
Genel istismarlar, truva atları (Agent ve Cobalt Strike çeşitleri) ve potansiyel olarak diğer kötü amaçlı nesneler de dahil olmak üzere çeşitli kötü amaçlı yazılım türlerini dağıtmak için bu güvenlik açığını kullanan istismar girişimlerini tespit ettiler.
Kaspersky, Microsoft’un raporu analiz etme ve güvenlik yamaları yayınlama konusundaki hızlı eylemini takdir ediyor.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free