ClearSky araştırmacıları, Microsoft’un Kasım 2024 Yaması Salı günü bir düzeltme yayınladığı Windows sıfır gün güvenlik açığı olan CVE-2024-43451’in en az Nisan 2024’ten bu yana istismar edildiğini ortaya çıkardı.
Güvenlik açığı hakkında
CVE-2024-43451, desteklenen tüm Windows sürümlerini etkiler ve tetiklendiğinde, saldırgana kullanıcının NTLMv2 karma değerini açıklar; saldırgan bunu karma saldırılarını bağlamak veya karmadan kullanıcının parolasını çıkarmak için kullanabilir.
Her iki durumda da sonuç aynıdır: Saldırgan, hedef sistemde kullanıcı olarak kimlik doğrulaması yapabilir.
CVE-2024-43451’den yararlanıldı
ClearSky araştırmacıları, Ukraynalı CERT’in (CERT-UA) yardımıyla Haziran 2024’te gerçekleşen saldırının parçalarını bir araya getirdi.
(Şüpheli Rus) saldırgan, çok spesifik hedeflere güvenilir hedef odaklı kimlik avı e-postaları gönderebilmek için Ukraynalı bir akademik sunucunun güvenliğini tehlikeye attı. E-posta, alıcıdan ekteki bağlantı aracılığıyla akademik sertifikasını yenilemesini istiyordu.
Kurban tıkladığında, içinde iki dosya bulunan bir ZIP dosyası indiriliyor: mezuniyet diplomasını içeren sahte bir PDF dosyası ve SMB protokolünü kullanan harici bir sunucuya başvuran bir URL (internet kısayolu) dosyası.
Dosyaya sağ tıklamak veya dosyayı silmeye veya başka bir klasöre sürüklemeye çalışmak, CVE-2024-43451’in kötüye kullanılmasını tetikler. Kullanıcının NTLMv2 karması saldırgana iletilir ve karma saldırısını geçmek ve saldırganın sunucusuyla bağlantı kurmak için kullanılır.
Son olarak, sertifika gibi görünen bir EXE dosyası sunucudan indirilip çalıştırıldığında, sertifikanın etkinleştirildiğini belirten bir sahte mesaj gösterir ve arka planda SparkRAT’ın kurulumuna ve çalıştırılmasına yol açan ek dosyaları bırakır. kötü amaçlı yazılım.
Bu kusurdan yararlanan başka saldırılar mı var?
URL dosyasının analizi, Nisan başından bu yana VirusTotal’a gönderilen benzer yapılandırılmış dosyaları ortaya çıkardı:
CVE-2024-43451’den yararlanan diğer benzer yapılandırılmış URL dosyaları (Kaynak: ClearSky)
Bu dosyaların adları, benzer saldırı senaryolarında Redline bilgi hırsızlığıyla diğer kuruluşları hedef almak için bu güvenlik açığından yararlanıldığına işaret ediyor.
Araştırmacılar, benzerliğin iki olası açıklaması olduğunu söyledi: Ya farklı türde kötü amaçlı yazılım kullanan bir saldırgan ya da aynı güvenlik açığından yararlanan iki farklı tehdit aktörü vardı.
Ne yapalım?
ClearSky araştırmacıları, CVE-2024-43451’den yararlanan bir dosyanın nasıl oluşturulabileceğini açıkladılar ve güvenlik açığından Windows 10/11 işletim sistemlerinde eski işletim sistemlerine göre daha fazla yararlanılabileceğini belirttiler.
“Windows 7, 8 ve 8.1’de, sürükleme sırasında hedef klasör açık olmadığı sürece dosya sürüklendiğinde veya silindiğinde iletişimi başlatmadı (bu ilk denemede gerçekleşmedi ancak yalnızca 2-3 denemeden sonra gözlemlendi) ),” buldular.
Microsoft, CVE-2024-43451 için bir düzeltme eki yayımladı ve Windows ve Windows Server kullanıcılarına bunları mümkün olan en kısa sürede uygulamalarını tavsiye etti.