Şubat ayında yamalanan Microsoft Defender SmartScreen güvenlik açığı, dünya çapında bilgi çalma saldırılarında kullanılmaya devam ediyor.
CVE-2024-21412 — SmartScreen’deki “yüksek” öneme sahip, 8.1 CVSS puanlı bir güvenlik atlama hatası — ilk olarak 13 Şubat’ta ifşa edildi ve düzeltildi. O zamandan beri, iyi bilinen bilgi hırsızlarını içeren kampanyalarda kullanıldı. Lumma Hırsızı, Su HidrasıVe Karanlık Kapı.
Şimdi, beş ay sonra, Fortinet henüz bir uyarı yapmadı iki hırsızın daha dahil olduğu başka bir kampanya: Meduza ve ACR. Saldırılar şu ana kadar ABD, İspanya ve Tayland’a ulaştı.
Bazen, kuruluşlar üçüncü taraf yazılımlarını güncellemek için zaman harcarlar. Buna karşılık, “Bu durumdaki saldırganlar, normal Microsoft yama döngülerinde güncellenecek olan Microsoft Windows’da bulunan yazılımlardan yararlanıyor,” diyor Fortinet’te küresel güvenlik stratejisti ve araştırmacısı olan Aamir Lakhani. “Bu güvenlik açıklarının ne zaman yamalanmadığı biraz belirsiz ve endişe verici, çünkü bu, yamalanmayan başka Microsoft güvenlik açıkları olduğunu gösterebilir.”
CVE-2024-21412 Saldırı Zinciri
Güvenli olmadığı bilinen veya başka bir nedenle şüpheli olan bir web sitesini ziyaret ederseniz veya bir dosya veya program indirirseniz, SmartScreen devreye girer ve size o meşhur mavi ekran mesajını gösterir: “Windows bilgisayarınızı korudu.” Bu, kullanıcıları potansiyel olarak tehlikeli siber tehditlere karşı uyarmanın basit ve etkili bir yoludur.
O halde bir saldırganın bu bildirimi basitçe devre dışı bırakabilmesinin ne kadar yararlı olacağını düşünün. CVE-2024-21412’nin onlara izin verdiği şey budur.
Lakhani, Fortinet tarafından tespit edilen son saldırıda saldırganların SmartScreen’i “PowerShell hilesi ve saldırıları görüntülere gizleyip bu görüntülerin nasıl işlendiği avantajından yararlanarak” yendiklerini açıklıyor.
Öncelikle, kurbanları bir kısayol (LNK) dosyasının indirilmesini tetikleyen bir URL ile cezbederler. LNK, sahte PDF dosyalarını ve kötü amaçlı kod enjektörlerini almak için Powershell koduyla bir HTML Uygulaması (HTA) betiği içeren bir yürütülebilir dosyayı indirir.
Enjektörlerden biri diğerinden daha ilginçtir. Hata ayıklama karşıtı kontrolleri çalıştırdıktan sonra bir JPG resim dosyası indirir, ardından piksellerine erişmek ve baytlarını çözmek için bir Windows API kullanır, burada kötü amaçlı kod bulunur.
“Bu tür görüntü tabanlı saldırılar uzun zamandır var ve genellikle gözlemlediğimiz diğer saldırı türleri kadar yaygın olmasalar da, oldukça etkili oldukları için zamanla ortaya çıktıklarını görüyoruz,” diyor Lakhani. “Bu saldırıyı görmek şaşırtıcı değil, özellikle de [steganography] “Tespiti diğer saldırı senaryolarına kıyasla çoğu zaman göz ardı ediliyor.”
Yama Uygulanmayanların Sonuçları
Bu durumda görüntü dosyaları aracılığıyla gizlice sokulan hırsızlar, meşru Windows işlemlerinin içine yerleştiriliyor ve bu noktada verilerin toplanması ve sızdırılması başlıyor.
Hedefledikleri bilgi türleri geniştir. Örneğin ACR, düzinelerce tarayıcıdan (Google Chrome, Firefox), düzinelerce kripto cüzdanından (Binance, Ledger Live), mesajlaşma uygulamalarından (Telegram, WhatsApp), şifre yöneticilerinden (Bitwarden, 1Password), sanal özel ağ (VPN) uygulamalarından, e-posta istemcilerinden, dosya aktarım protokolü (FTP) istemcilerinden ve daha fazlasından çalar.
Yalnızca standart Windows yamasında çok geride olan kuruluşların endişelenecek bir şeyleri vardır. Ancak açıkça, bu kuruluşlar oradadır.
“Daha küçük şirketlerden gelen bireysel yazılım güncellemelerinin nasıl gözden kaçırıldığını anlıyorum, ancak çoğu kuruluşun düzenli Microsoft yazılım yama güncellemeleri var ve bu belirli güvenlik açığı saldırıya açık olmaya devam ediyor,” diyor Lakhani. Daha iyi yama uygulamalarını teşvik etmek için, “Bence her durumda, yazılım satıcılarının kullanıcılara kritik güvenlik yamalarının mevcut olduğu ve yazılım başlatıldığında veya kullanıldığında yüklenmesi gerektiği konusunda uyarılar ve bildirimler vermesi gerekiyor.”