Yönetişim ve Risk Yönetimi, Yama Yönetimi
Askeri İstihbarat Microsoft’un Mart Ayında Düzeltilen Kusurunu İstismar Ediyor
David Perera (@daveperera) •
4 Aralık 2023
Redmond ve Varşova’daki siber savunucular, Polonya’da faaliyet gösteren Rus askeri istihbarat korsanlarının Microsoft Outlook’taki yamalı bir kusurdan yararlandığını söyledi.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Microsoft Pazartesi günkü bir gönderide bilgisayar korsanlarının APT28 ve Fancy Bear olarak da bilinen Forest Blizzard olduğunu belirtti.
ABD ve İngiliz istihbaratı, Forest Blizzard’ın “neredeyse kesinlikle”, daha çok GRU olarak bilinen Rusya Genelkurmay Ana İstihbarat Müdürlüğü’nün bir parçası olduğunu değerlendirdi.
Polonya Siber Komutanlığı Pazar günü yaptığı açıklamada, “kamu ve özel kuruluşlara karşı kötü niyetli eylemler” tespit ettiğini söyledi.
Polonya ile Rusya arasındaki ilişkiler, Kremlin’in Şubat 2022’de Ukrayna’yı işgal etmesinin ardından daha da kötüleşti ve Polonya, askeri yardım ve mülteciler için bir hazırlık alanı görevi gördü. Eski Rusya Devlet Başkanı Dmitry Medvedev’in Pazar günü Moskova’nın Polonya’yı “tehlikeli bir düşman” olarak gördüğünü yazdığı ve eylemlerinin “Polonya devletinin bütünüyle ölümüne yol açabileceği” konusunda uyardığı bildirildi.
CVE-2023-23397 olarak izlenen kusur, uzak, kimliği doğrulanmamış bir saldırganın, hedeflenen kullanıcının karma Windows hesabı parolasını sızdıran özel hazırlanmış bir e-posta göndermesine ve saldırganın diğer sistemlerde kimlik doğrulaması yapmasına olanak tanıyan bir Microsoft Outlook ayrıcalık yükselmesi güvenlik açığıdır . Bu tür saldırılar Hash’i Geçmek olarak bilinir. Saldırganlar ayrıca erişim sağlamak için, bilgisayar korsanlarının aynı parolayla birden fazla hesapta oturum açmaya çalıştığı bir teknik olan parola püskürtme saldırılarını da kullanıyor.
Polonya Siber Komutanlığı, bilgisayar korsanlarının, doğrudan erişimi kaybetmeleri durumunda erişimi sürdürmenin bir yolu olarak, mesajları diğer Exchange grubu kullanıcıları tarafından görünür hale getirmek için yüksek değerli Outlook gelen kutularının izinlerini değiştirdiğini söyledi. Bilgisayar korsanları ayrıca bu yüksek değerli gelen kutularının içeriklerine sızmak için Outlook API’yi, Microsoft Exchange Web Hizmetlerini de kullanıyor.
Microsoft kusuru Mart ayında düzeltti. O dönemde tehdit amaçlı istihbarat firması Mandiant, GRU hackerlarının bu güvenlik açığından yaklaşık bir yıldır yararlandıkları ve bunu Polonya, Ukrayna, Romanya ve Türkiye’de bulunan devlet kurumlarına ve lojistik, petrol, savunma ve ulaştırma sektörlerine karşı kullandıkları konusunda uyarmıştı (bkz.: Microsoft, Rusya’nın İstismar Edilen Sıfır Gününü Düzeltiyor).