Windows sistemlerinde yeni keşfedilen 0 günlük bir güvenlik açığı olan CVE-2024-43451, şüpheli Rus bilgisayar korsanları tarafından Ukraynalı varlıkları hedeflemek için aktif olarak kullanıldı.
ClearSky Cyber Security’deki güvenlik analistleri tarafından Haziran 2024’te tespit edilen bu 0 günlük kusur, saldırganların minimum kullanıcı etkileşimi yoluyla sistemlere yetkisiz erişim elde etmesine olanak tanıyor.
CVE-2024-43451, görünüşte zararsız eylemlerle tetiklenebilen bir NTLM Karma Açıklama sahtekarlığı güvenlik açığıdır: –
- Kötü amaçlı bir dosyaya tek bir sağ tıklama
- Dosyayı silme (Windows 10/11’de)
- Dosyayı başka bir klasöre taşıma (belirli Windows sürümlerinde)
ClearSky Cyber Security’deki araştırmacılar, bu 0 Günlük güvenlik açığından yararlanıldığında, saldırganların kullanıcı olarak kimlik doğrulaması yapmak ve potansiyel olarak bir ağ içinde yanal olarak hareket etmek için kullanabileceği kullanıcının NTLMv2 karmasını açığa çıkardığını gözlemledi.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Saldırı Yöntemi
Saldırı, bir İnternet kısayol dosyasını indirmek için köprü içeren bir kimlik avı e-postasıyla başlar. Bu dosya, güvenliği ihlal edilmiş bir Ukrayna hükümeti sunucusunda barındırılıyor. Kullanıcı dosyayla etkileşime girdiğinde güvenlik açığı tetiklenir ve saldırganın sunucusuyla bağlantı kurulur.
Bu istismar daha sonra, saldırganların güvenliği ihlal edilmiş sistemleri uzaktan kontrol etmesine olanak tanıyan açık kaynaklı bir uzaktan erişim aracı olan SparkRAT dahil olmak üzere ek kötü amaçlı yazılımlar indiriyor.
Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), bu saldırıları Rus olduğuna inanılan bir tehdit grubu olan UAC-0194’e bağladı. Kampanya öncelikle Ukrayna varlıklarını hedef alıyor ve bölgede devam eden siber savaşa dikkat çekiyor.
Microsoft, Kasım 2024 Salı Yaması güncellemesinin bir parçası olarak CVE-2024-43451 yamasını yayınladı. Güvenlik açığı, Windows 10 ve üzeri sürümlerden Windows Server 2008 ve üzeri sürümlere kadar desteklenen tüm Windows sürümlerini etkilemektedir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğuna CVE-2024-43451’i ekleyerek federal kurumların 3 Aralık 2024’e kadar savunmasız sistemleri güvence altına almalarını zorunlu kıldı.
Kullanıcıların ve kuruluşların, aktif olarak yararlanılan bu sıfır gün güvenlik açığından kaynaklanan riski azaltmak için güvenlik güncelleştirmesini hemen uygulamaları önerilir.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.