Hacktivist grup DragonForce Malaysia, Windows Server yerel ayrıcalık yükseltmesinin (LPE) yerel dağıtım yönlendiricisi (LDR) özelliklerine erişim vermesine izin veren bir istismar yayınladı. Ayrıca, cephaneliğine fidye yazılımı saldırıları eklediğini duyurdu.
Grup, 23 Haziran’da Telegram kanalında istismarın bir kavram kanıtı (PoC) yayınladı ve ardından CloudSEK tarafından analiz edildi bu hafta. Hata için bilinen bir CVE olmamasına rağmen, grup, bir kuruluşun çeşitli yerlerindeki yerel ağları birbirine bağlamak için kullanılan LDR katmanına erişmek için kimlik doğrulamasını “bir saniyede uzaktan” atlamak için istismarın kullanılabileceğini iddia ediyor.
Grup, istismarı doğrudan kendi tekerlek yuvasına düşen Hindistan’da faaliyet gösteren işletmeleri hedef alan kampanyalarda kullanacağını söylüyor. DragonForce Malaysia, geçtiğimiz üç ay boyunca Orta Doğu ve Asya’da çok sayıda devlet kurum ve kuruluşunu hedef alan çeşitli kampanyalar başlattı.
Radware’in siber tehdit istihbarat bölümü araştırma başkanı Daniel Smith, “DragonForce Malaysia, uzun süre jeopolitik huzursuzlukla hatırlanacak bir yıla ekleniyor” diyor ve ekliyor: “Diğer hacktivistlerle birlikte, tehdit grubu Anonymous’un bıraktığı boşluğu başarıyla doldurdu. Rus/Ukrayna savaşıyla ilgili hacktivistlerin yeniden canlanması sırasında bağımsız kalırken.”
“OpsPatuk” olarak adlandırılan ve Haziran ayında başlatılan en yenisi, ülke genelinde veri sızıntıları ve hizmet reddi saldırılarının hedefi olan birkaç devlet kurumu ve kuruluşunu gördü ve tahrif sayısı 100’ü aştı.
Smith, “DragonForce Malaysia’nın öngörülebilir gelecekte sosyal, politik ve dini bağlantılarına dayalı yeni gerici kampanyalar tanımlamaya ve başlatmaya devam etmesi bekleniyor” diyor ve ekliyor: “DragonForce Malaysia’nın son operasyonları… bu zamanlarda tetikte ve Doğu Avrupa’daki mevcut siber çatışmanın dışında tehditlerin olduğunun farkında.”
LPE Neden Yama Radarında Olmalı?
Uzaktan kod yürütme (RCE) kadar gösterişli olmasa da, LPE açıkları normal bir kullanıcıdan SYSTEM’e, esasen Windows ortamındaki en yüksek ayrıcalık düzeyine bir yol sağlar. LPE güvenlik açıklarından yararlanılırsa, bir saldırganın kapıdan içeri girmesine izin vermekle kalmaz, aynı zamanda yerel yönetici ayrıcalıkları da sağlar ve ağdaki en hassas verilere erişim sağlar.
Bu yükseltilmiş erişim düzeyiyle, saldırganlar sistem değişiklikleri yapabilir, depolanan hizmetlerden kimlik bilgilerini kurtarabilir veya bu sistemi kullanan veya bu sistemde kimlik doğrulaması yapmış diğer kullanıcılardan kimlik bilgilerini kurtarabilir. Diğer kullanıcıların kimlik bilgilerini kurtarmak, bir saldırganın bu kullanıcıları taklit etmesine izin vererek, ağ üzerinde yanal hareket için yollar sağlar.
Yükseltilmiş ayrıcalıklarla, bir saldırgan yönetici görevleri gerçekleştirebilir, kötü amaçlı yazılım yürütebilir, veri çalabilir, kalıcı erişim elde etmek için bir arka kapı yürütebilir ve çok daha fazlasını yapabilir.
CloudSEK’in baş tehdit araştırmacısı Darshit Ashara, örnek bir saldırı senaryosu sunuyor.
Ashara, “Ekibin saldırganı, başlangıç noktası elde etmek ve Web tabanlı bir arka kapı yerleştirmek için herhangi bir basit Web uygulaması tabanlı güvenlik açığından kolayca yararlanabilir” diyor. “Genellikle, Web sunucusunun barındırıldığı makine, kullanıcı ayrıcalığına sahip olacaktır. LPE istismarının, tehdit aktörünün daha yüksek ayrıcalıklar elde etmesini ve yalnızca tek bir web sitesini değil, sunucuda barındırılan diğer web sitelerini tehlikeye atmasını sağlayacağı yer burasıdır.”
LPE İstismarları Genellikle Yamasız Kalır
Bir bilgi güvenliği danışmanlık firması olan LARES Consulting’de rakip mühendislik direktörü Tim McGuffin, çoğu kuruluşun LPE açıklarını düzeltmek için beklediğini çünkü genellikle ilk etapta ağa veya uç noktaya ilk erişime ihtiyaç duyduklarını açıklıyor.
“İlk erişimin engellenmesi için çok çaba harcanıyor, ancak saldırı zincirinde ne kadar ileri giderseniz, ayrıcalık yükseltme, yanal hareket ve ısrar gibi taktikler için o kadar az çaba harcanıyor” diyor. “Bu yamalar tipik olarak üç ayda bir önceliklendirilir ve yamalanır ve acil bir ‘şimdi yama’ süreci kullanmaz.”
Digital Shadows kıdemli siber tehdit istihbarat analisti Nicole Hoffman, ister LPE ister RCE olsun, her güvenlik açığının öneminin farklı olduğunu belirtiyor.
“Tüm güvenlik açıklarından yararlanılamaz, yani her güvenlik açığı hemen ilgilenilmesini gerektirmez. Bu durum bazında bir durum” diyor. “Birkaç LPE güvenlik açığı, saldırıyı gerçekleştirmek için bir kullanıcı adı ve parolaya ihtiyaç duyma gibi başka bağımlılıklara sahiptir. Bunu elde etmek imkansız değil, ancak daha yüksek düzeyde bir bilgi birikimi gerektiriyor.”
Hoffman, birçok kuruluşun bireysel kullanıcılar için yerel yönetici hesapları oluşturduğunu, böylece kendi yazılımlarını kendi makinelerine yüklemek gibi günlük BT işlevlerini gerçekleştirebileceklerini ekliyor.
“Birçok kullanıcının yerel yönetici ayrıcalıkları varsa, bir ağdaki kötü niyetli yerel yönetici eylemlerini tespit etmek daha zordur” diyor. “Yaygın olarak kullanılan zayıf güvenlik uygulamaları nedeniyle bir saldırganın normal operasyonlara karışması kolay olacaktır.”
Ne zaman bir istismar doğaya salınsa, farklı düzeylerde gelişmiş siber suçluların avantaj elde etmesi ve fırsatçı saldırılar gerçekleştirmesi çok uzun sürmediğini açıklıyor.
“Bir istismar, bu ayak işinin bir kısmını ortadan kaldırıyor” diye belirtiyor. “Bu güvenlik açığı için zaten gerçek bir toplu tarama yapılıyor.”
Hoffman, dikey ayrıcalık yükseltmenin daha fazla karmaşıklık gerektirdiğini ve tipik olarak gelişmiş kalıcı tehdit (APT) metodolojileriyle daha uyumlu olduğunu ekliyor.
DragonForce Fidye Yazılımına Geçmeyi Planlıyor
Hacktivist grup, bir video ve sosyal medya kanalları aracılığıyla toplu fidye yazılımı saldırıları düzenlemeye başlama planlarını da duyurdu. Araştırmacılar, bunun bir ayrılmadan ziyade hacktivist faaliyetlerine ek olabileceğini söylüyor.
Hoffman, “DragonForce, oluşturdukları açıklardan yararlanarak yaygın fidye yazılımı saldırıları gerçekleştirmekten bahsetti,” diye açıklıyor. “WannaCry fidye yazılımı saldırısı, eğer nihai hedef finansal kazançsa, yaygın fidye yazılımı saldırılarının hepsinin aynı anda ne kadar zorlayıcı olduğunun harika bir örneğiydi.”
Ayrıca, siber suç tehdidi gruplarından bu duyuruları görmenin alışılmadık bir durum olmadığına, çünkü gruba dikkat çektiğine de dikkat çekiyor.
Ancak McGuffin’in bakış açısına göre, taktiklerde bir değişikliğin kamuoyuna duyurulması, özellikle hacktivist bir grup için “merak”.
“Güçleri daha çok imha ve hizmet reddi etrafında olabilir ve tipik fidye yazılımı grupları gibi kar elde etmek konusunda daha az olabilir, ancak finansmanı hacktivist yeteneklerini veya amaçlarına ilişkin farkındalıklarını geliştirmek için kullanıyor olabilirler” diyor.
Ashara, DragonForce’un planlı değişiminin vurgulanmaya değer olduğunu kabul ediyor, çünkü grubun amacı mümkün olduğunca fazla etki yaratmak, ideolojilerini güçlendirmek ve mesajlarını yaymak.
“Dolayısıyla, grubun fidye yazılımının duyurulmasıyla ilgili motivasyonu, mali neden için değil, zarar vermek içindir” diyor. “Geçmişte fidye yazılımlarını kullandıkları ve motivasyonu finansalmış gibi davrandıkları, ancak asıl motivasyonun zarar olduğu benzer kötü amaçlı silen kötü amaçlı yazılımlar gördük.”