Yeni keşfedilen sıfır gün güvenlik açığı CVE-2024-43451, çeşitli sürümlerdeki Windows sistemlerini hedef alarak aktif olarak istismar edildi.
ClearSky Siber Güvenlik ekibi tarafından Haziran 2024’te ortaya çıkarılan bu kritik güvenlik açığının, özellikle Ukraynalı kuruluşlara yönelik saldırılarla bağlantısı olduğu belirlendi.
Bu istismar, kötü niyetli aktörlerin, kötü amaçlı bir dosyaya tek bir sağ tıklama gibi görünüşte zararsız eylemler yoluyla sistemin kontrolünü ele geçirmesine olanak tanır.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Güvenlik Açığı Genel Bakış
Sıfır gün hatası, Windows 10 ve 11 dahil neredeyse tüm Windows sürümlerini ve Windows 7 ve 8.1 gibi eski sürümlerin bazı yapılandırmalarını etkiliyor.
Güvenlik açığı, yasal belgeler gibi görünen özel hazırlanmış URL dosyalarıyla etkileşime girilmesiyle tetikleniyor.
- Tek bir sağ tıklama kötü amaçlı bir dosyada (tüm Windows sürümlerini etkiler).
- Dosyanın silinmesi (Windows 10/11).
- Dosyayı sürüklemek başka bir klasöre (Windows 10/11 ve bazı eski sürümler).
Genellikle akademik sertifikalar olarak gizlenen kötü amaçlı dosyaların ilk olarak ele geçirilen bir resmi Ukrayna hükümeti web sitesinden dağıtıldığı gözlemlendi.
Saldırı genellikle kötü amaçlı bir URL dosyası içeren bir kimlik avı e-postasıyla başlar. Güvenliği ihlal edilmiş bir Ukrayna hükümeti sunucusundan gelen e-posta, alıcıyı akademik sertifikasını yenilemeye teşvik ediyor.
Kullanıcı URL dosyasıyla tetikleyici herhangi bir şekilde etkileşim kurduğunda, saldırganın sunucusuyla bir bağlantı kurulur ve bu da SparkRAT kötü amaçlı yazılımı da dahil olmak üzere ek kötü amaçlı yüklerin indirilmesine olanak tanır.
Açık kaynaklı bir uzaktan erişim truva atı (RAT) olan SparkRAT, kurbanın sisteminin kontrolünü ele geçirmek için kullanılıyor. Ayrıca saldırganlar, sistem yeniden başlatıldıktan sonra bile erişimi sürdürmek için kalıcılık teknikleri kullanıyor.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), bu saldırıları Rusya bağlantılı tehdit aktörü UAC-0194’e bağladı.
ClearSky araştırmacıları ayrıca Rusya’ya bağlı diğer gruplar tarafından kullanılan tekniklerle örtüşmeler tespit ederek ortak bir araç seti kullanılmasını önerdi.
Microsoft, 12 Kasım 2024’te yayımlanan bir güvenlik düzeltme ekiyle bu güvenlik açığını giderdi. CVE-2024-43451’in kötüye kullanılmasını önlemek için kullanıcıların sistemlerini derhal güncellemeleri önerilir.
Güncel güvenlik yamalarının sürdürülmesi, devam eden bu saldırılara karşı korunma açısından kritik öneme sahip olmaya devam ediyor.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.