Dünya çapında siber güvenlik ekipleri, son aylarda yetkisiz sistem erişimi elde etmek için hem Windows hem de Linux güvenlik açıklarından yararlanan sofistike kampanyalarda bir artış gözlemledi.
Bu saldırılar genellikle kimlik avı e -postaları veya silahlı belgeler sunmak için tasarlanmış kötü niyetli web içeriği ile başlar. Açıldıktan sonra, gömülü istismarlar yaygın olarak kullanılan yazılım bileşenlerindeki dövülmemiş güvenlik açıklarını hedefleyerek saldırganların kurban makinelerinde keyfi kod yürütmesine izin verir.
Kuruluşlar yama yönetimine ayak uydurmak için mücadele ederken, tehdit aktörleri birçok ortamda kabul edilmeyen yüksek etkili kusurlara odaklanmalarını yoğunlaştırdılar.
Securelist araştırmacılar, Microsoft Office’in denklem editöründeki uzun süredir devam eden birkaç güvenlik açıkının favori bir başlangıç erişim vektörü olmaya devam ettiğini belirledi.
CVE-2018-0802 ve CVE-2017-11882, her ikisi de Denklem Düzenleyicisi bileşenindeki uzaktan kod yürütme kusurları, yamaların yıllarca mevcut olmasına rağmen yoğun bir şekilde kullanılmaktadır.
Buna ek olarak, ofis ve Wordpad’i etkileyen bir kusur olan CVE-2017-0199, yük teslimatı için başka bir yol sağlar.
Bu ofis istismarları genellikle daha yeni Windows Dosyası Gezgini ve sürücü güvenlik açıkları ile birleştirilir-CVE-2025-24071 gibi. Library-MS dosyaları ve CVE-2024-35250, bir Ks.sys sürücü kodu yürütme sorunu oluşturma ve küstahlık özelliği oluşturmak için.
Microsoft Office’in ötesinde, saldırganlar Winrar’ın arşivi zayıflıklarından da yararlandı. CVE-2023-38831 ve dizin geçiş kusuru CVE-2025-6218, rakiplerin amaçlanan çıkarma yolunun dışında kötü niyetli dosyaları yerleştirmesine izin verir, sistem yapılandırmalarını kaçırma veya kalıcılık geri çekilmesine izin verir.
Linux tarafında, kirli boru güvenlik açığı (CVE-2022-0847) ayrıcalık artışı için kritik bir favori olmaya devam ederken, CVE-2019-13272 ve CVE-2021-22555, Uncatched sunucularda kök erişimi elde etmek için kullanılmaya devam ediyor.
Enfeksiyon mekanizması
Özellikle sinsi bir enfeksiyon mekanizması, ofis tabanlı teslimatı sistem sürücülerinin ikincil sömürüsü ile birleştirir. Securelist analistler, saldırganların OLE nesneleri aracılığıyla denklem düzenleyicisini çağıran kabuk kodu içeren RTF belgeleri oluşturduğunu belirtti.
Güvenlik açığı tetiklendikten sonra, Shellcode iki aşamalı bir yük indirir: küçük bir yükleyici ve tam özellikli bir kötü amaçlı yazılım ikili.
Yükleyici, NetNTLM karma işlemlerini gelen SMB bağlantılarından toplamak için CVE-2025-24071’den yararlanır ve bunları bir C2 sunucusuna iletir.
Tam yük daha sonra, kötü niyetli bir sürücüyü çekirdek alanına yüklemek için CVE-2024-35250’yi kullanır ve saldırganlara sınırsız kod yürütme sağlar.
Bu çift eksploit zinciri, rakiplerin kullanıcı düzeyinde savunmaları atlamasına ve tespit edilmemiş rootkitleri dağıtmasına olanak tanır.
.webp)
Birçok olayda, çekirdek seviyesi kontrolü sağlandıktan sonra, saldırganlar kalıcılığı korumak için özel C2 çerçeveleri-şerit veya tahribat gibi-kurarlar.
Bu implantlar, antivirüs taramalarından kaçmak ve normal süreçlere karışmak için meşru pencereler kullanma için bellek içi korumayı içerir.
Kamuoyu bilinen istismarları zincirleyerek, aktörler şüpheli dosyaları diske yazmadan ilk uzlaşmadan tam sistem kontrolüne hızla geçebilirler.
Güvenlik Açığı Ayrıntıları:-
| CVE | Tanım | İstismar türü | Etkilenen platform |
|---|---|---|---|
| CVE-2018-0802 | Ofis denklemi editöründe RCE | Gömülü ole istismar | Pencere |
| CVE-2017-11882 | Ofis denklemi editöründe RCE | Gömülü ole istismar | Pencere |
| CVE-2017-0199 | Ofis ve Wordpad ile kontrol devralın | Script tabanlı belge istismarı | Pencere |
| CVE-2023-38831 | Winrar’da uygunsuz dosya işleme | Arşiv Kodu Yürütme | Pencere |
| CVE-2025-24071 | Netntlm Kimlik Bilgisi Hırsızlığı. | Kimlik Bilgisi Döküm | Pencere |
| CVE-2024-35250 | Ks.sys sürücüsünde keyfi kod yürütme | Çekirdek sürücü istismarı | Pencere |
| CVE-2022-0847 | Kirli boru ayrıcalığı artması | Boru arabelleği üzerine yazma | Linux |
| CVE-2019-13272 | Yanlış ayrıcalık miras kullanımı | Ayrıcalık artışı | Linux |
| CVE-2021-22555 | Netfilter’da yığın taşması | Yığın Tabanlı Taşma | Linux |
| CVE-2025-6218 | Winrar’da dizin geçiş | Arşiv yolu manipülasyonu | Pencere |
Bu konsolide görüş, daha yeni kusurların yanında eski güvenlik açıklarının kalıcılığını vurgulamakta ve zamanında yama ve kapsamlı savunma stratejileri için kritik ihtiyacın altını çizmektedir.
Kuruluşlar, gerçek dünya saldırılarında bu yaygın istismar riskini azaltmak için hem kullanıcı uygulamaları hem de sistem bileşenleri için güncellemelere öncelik vermelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.