Bubi tuzaklı Word belgeleri aracılığıyla dağıtılan bir açıktan yararlanma raporlarına göz atıyoruz.
Yama uygulanmamış bir sıfır gün güvenlik açığı şu anda vahşi ortamda kötüye kullanılıyor ve Ukrayna’yla ilgilenenleri hedefliyor. Microsoft, CVE-2023-36884’ün şu raporlara bağlı olduğunu bildiriyor:
…Windows ve Office ürünlerini etkileyen bir dizi uzaktan kod yürütme güvenlik açığı. Microsoft, özel hazırlanmış Microsoft Office belgelerini kullanarak bu güvenlik açıklarından yararlanmaya çalışan hedefli saldırıların farkındadır. Saldırgan, kurbanın bağlamında uzaktan kod yürütmesini sağlayan özel hazırlanmış bir Microsoft Office belgesi oluşturabilir. Ancak, bir saldırganın kurbanı kötü amaçlı dosyayı açmaya ikna etmesi gerekir.
CVE yeni bilgilerle ve uygun güvenlik bilgilerine bağlantılarla güncellenirken, Microsoft Güvenlik Blogu şu anda sorunu ayrıntılı olarak araştırmaktadır.
Tüm bunlar, hem Avrupa hem de Kuzey Amerika’daki savunma ve devlet kurumlarını hedef alan ve “Storm-0978” olarak izlenen bir grup tarafından yürütülen bir kimlik avı kampanyasıyla bağlantılı. Kampanyanın kendisi, “diyasporadaki tüm Ukrayna kamu kuruluşlarının” kar amacı gütmeyen bir organizasyonu olan Ukrayna Dünya Kongresi ile ilgili yemlerden yararlanıyor.
Bu enfeksiyonlar, yukarıdaki Ukrayna temalı yemden yararlanan Word belgeleri aracılığıyla uzaktan kod yürütülmesinden ve ayrıca “bir güvenlik özelliğinin atlanmasına katkıda bulunan güvenlik açıklarının kötüye kullanılmasından” kaynaklanmaktadır. Sahte bir OneDrive yükleyici, birincil arka kapı aracı olan RomCom’a benzer bir arka kapı sunar. Bu tür bir saldırıya karışan web sitelerinin, ifşa edildikten saatler sonra hala çevrimiçi olduğunu gözlemlemek alışılmadık bir durumdur, ancak hem siteden hem de indirmelerden aldığımız bazı fotoğraflar (Jerome sayesinde):
Bu grup tarafından başlatılan diğer saldırılardan bazıları, popüler yazılımların trojenleştirilmiş sürümlerinin dağıtımını içerir. Arka kapı ele geçirildiğinde, grup “hedeflenen operasyonlarda kullanılmak üzere kimlik bilgilerini çalabilir”.
Bu kurulumlar için kullanılan popüler araçlar arasında Solarwinds Network Performance Monitor, KeePass, Signal ve Adobe ürünlerinin truva atı olan sürümleri yer alır. Gerçeği taklit eden sahte alanlar kaydedilir ve virüslü yazılım için ikna edici cepheler olarak kullanılır.
Microsoft, doğası gereği daha az hedefli olmasına ve herhangi bir casusluk temalı operasyonla ilgisi olmamasına rağmen, bu grubun fidye yazılımı saldırılarında da parmağı olduğunu belirtiyor. Bu alanda Storm-0978’e ait olduğu belirlenen saldırılar, finans ve telekomünikasyon sektörlerini etkiledi.
O halde birkaç cephede çeşitli saldırılar.
Microsoft, en son saldırılardan kaynaklanan potansiyel güvenlik ihlali tehdidiyle ilgilenen kuruluşlar için aşağıdaki tavsiyelerde bulunur:
CVE-2023-36884’e özel öneriler
- Office 365 için Microsoft Defender kullanan müşteriler, CVE-2023-36884’ten yararlanmaya çalışan eklere karşı korunur.
- Mevcut saldırı zincirlerinde, Tüm Office uygulamalarının alt işlemler oluşturmasını engelle saldırı yüzeyini azaltma kuralının kullanılması, güvenlik açığından yararlanılmasını engeller
- Bu korumalardan yararlanamayan kuruluşlar, istismarı önlemek için FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kayıt defteri anahtarını ayarlayabilir. Lütfen bu kayıt defteri ayarlarının bu sorundan yararlanmayı azaltacağını, ancak bu uygulamalarla ilgili belirli kullanım durumları için normal işlevselliği etkileyebileceğini unutmayın.
Giden SMB trafiğini engellemeyi de düşünebilirsiniz.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.