Microsoft’un 2022’nin ortalarında düzelttiği, Windows destekli veri merkezleri ve uygulamalardaki kritik bir kusur, neredeyse tüm savunmasız uç noktalarda yamasız olarak kalıyor ve sayısız kullanıcıyı farklı kötü amaçlı yazılım ve hatta fidye yazılımı saldırıları riskiyle karşı karşıya bırakıyor.
Akamai’den siber güvenlik araştırmacıları, kusur için bir kavram kanıtı (PoC) yayınladılar ve henüz düzeltilmemiş cihazların yüksek yüzdesini belirlediler.
Akamai’nin atıfta bulunduğu güvenlik açığı, tehdit aktörlerinin hedeflenen sertifika olarak kimlik doğrulaması yapmasına veya kod imzalamasına olanak tanıyan bir Windows CryptoAPI kimlik sahtekarlığı güvenlik açığı olan CVE-2022-34689’dur. Başka bir deyişle, tehdit aktörleri kusuru kullanarak başka bir uygulama veya işletim sistemi gibi davranabilir ve bu uygulamaların herhangi bir alarm vermeden çalışmasını sağlayabilir.
Yamayı göz ardı etmek
Akamai araştırmacıları, “Veri merkezlerindeki görünür cihazların yüzde birinden daha azının yamalı olduğunu ve geri kalanı bu güvenlik açığından yararlanmaya karşı korumasız hale getirdiğini bulduk” dedi.
The Register’a konuşan araştırmacılar, uç noktaların %99’unun yamanın kaldırılmadığını doğruladı, ancak bu, bunların savunmasız oldukları anlamına gelmeyebilir – saldırganların yararlanabileceği savunmasız bir uygulama olması gerekir.
Kusura 7,5 önem derecesi verildi ve “kritik” olarak etiketlendi. Microsoft, Ekim 2022’de bir yama yayınladı, ancak henüz çok az kullanıcı bunu uyguladı.
Araştırmacılar, “Şimdiye kadar, Chrome’un eski sürümlerinin (v48 ve öncesi) ve Chromium tabanlı uygulamaların kötüye kullanılabileceğini bulduk” dedi. “Vahşi doğada daha savunmasız hedefler olduğuna inanıyoruz ve araştırmamız hala devam ediyor.”
Microsoft, kusuru başlangıçta düzelttiğinde, güvenlik açığından vahşi ortamda yararlanıldığına dair hiçbir kanıt olmadığını söyledi. Bununla birlikte, artık PoC’nin halka açık olmasıyla, farklı tehdit aktörlerinin savunmasız uç noktalar için avlanmaya başlayacağını varsaymak güvenlidir. (yeni sekmede açılır). Ne de olsa, metodoloji onlara gümüş tepside sunuldu, tek yapmaları gereken bir kurban bulmak.
Üzerinden: Kayıt (yeni sekmede açılır)