Tehdit aktörleri, Microsoft’un kendi yazılımında düzelttiği sıfır günlük hatalardan birini istismar ediyor olabilir. Temmuz güvenlik güncellemesi yama yayınlanmadan en az 18 ay önce.

Her ne kadar bu güvenlik açığı (CVE-2024-38112) artık emekliye ayrılmış Internet Explorer (IE) tarayıcısı için MSHTML (Trident) motorunu etkilediğinden, Edge’in varsayılan tarayıcı olduğu daha yeni Windows 10 ve Windows 11 sistemleri de bu açığı hedef alan saldırılara karşı hassastır.

Yeni Exploit Zinciri

Check Point’te bir güvenlik araştırmacısı olan Haifei Li, açığı keşfetti ve Mayıs ayında Microsoft’a bildirdi. Li, yakın zamanda yazdığı bir blog yazısında CVE-2024-38112’yi tanımladı bir saldırganın kurbanlara, tıklandığında IE’yi (varsayılan tarayıcı olmasa bile) kullanarak saldırganın kontrol ettiği bir URL’yi açacak özel olarak hazırlanmış İnternet Kısayol dosyaları (diğer adıyla URL dosyaları) göndermesine izin vermek gibi. Check Point’in gözlemlediği saldırılarda, tehdit aktörü, kusur istismarını, tehlikeli HTML uygulama dosyalarını (veya .hta dosyalarını) zararsız görünen bir PDF belgesi kisvesi altında gizlemek için başka bir yeni IE hilesiyle birleştirdi.

“Saldırıları istismar perspektifinden özetlemek gerekirse: Bu kampanyalarda kullanılan ilk teknik şudur: [a] Li, “Saldırganın daha güvenli Chrome/Edge yerine IE’yi aramasına olanak tanıyan bir hile” diye yazdı. “İkinci teknik, kurbanın aslında tehlikeli bir dosyayı indirip çalıştırırken bir PDF dosyası açtığına inanmasını sağlayan bir IE hilesidir. .hta uygulaması.”

Check Point Araştırma Grubu Yöneticisi Eli Smadja, en kötü senaryoda bu açığın saldırganın kurbanın makinesinde fidye yazılımı, casus yazılım ve diğer keyfi kodları çalıştırmasına olanak verebileceğini söylüyor.

Hedefli Bilgi Hırsızlığı Kampanyalarında Kullanılıyor mu?

Smadja, Check Point’in açığı hedef alan saldırılara ilişkin analizinin hala devam ettiğini söylüyor. Ancak, ilk analiz en az iki olası farklı tehdit aktörünün eş zamanlı kampanyalarda CVE-2024-38112’yi istismar ettiğini ve Vietnam ve Türkiye’deki bireyleri hedef aldığını gösterdi. Kampanyalardan biri, saldırganın iki ülkedeki hedeflenen kurbanlara Atlantida bilgi hırsızını bırakma girişimlerini içeriyor.

“Bu aktör, HTA ve PowerShell dosyalarını kullanarak saldırılar gerçekleştirmek için tehlikeye atılmış WordPress platformlarını kullanıyor ve bu da sonunda hedef makinelere Atlantida hırsızını dağıtıyor,” diyor Smajda. “Siber suç güdüleriyle yönlendirilen ek, keşfedilmemiş olaylar olabileceğine inanıyoruz,” diyor.

Rapid7 bu yılın başlarında Atlantida’yı tanımladı kimlik bilgileri, kripto para cüzdanı verileri, tarayıcı verileri, ekran bilgileri, donanım verileri ve tehlikeye atılmış sistemlerden diğer bilgilerin çalınmasına olanak tanıyan kötü amaçlı yazılım olarak tanımlanıyor.

Microsoft, CVE-2024-38112’yi, başarılı bir şekilde istismar edilirse sistem gizliliği, bütünlüğü ve kullanılabilirliği üzerinde büyük bir etkiye sahip olabilecek bir sahtecilik güvenlik açığı olarak tanımladı. Ancak şirket, saldırganın herhangi bir saldırının işe yaraması için kurbanı silahlandırılmış URL dosyasıyla etkileşime girmeye ikna etmesi gerektiği gerçeğine dayanarak, buna yalnızca 10 üzerinden 7,5’lik orta düzeyde yüksek bir önem derecesi verdi.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CVE-2024-38112’yi kataloguna ekledi bilinen istismar edilen güvenlik açıkları (KEV) ve kuruluşları Microsoft’un güvenlik açığına yönelik hafifletme önlemlerini uygulamaya çağırdı. Federal sivil yürütme organı kuruluşlarının sorunu gidermek veya sorunu düzeltene kadar etkilenen ürünleri kullanmayı durdurmak için 30 Temmuz’a kadar süreleri var.

Trident hatası, CISA’nın KEV kataloğuna eklediği Microsoft’un Temmuz güncellemesinden iki sıfır günden biridir. Diğeri CVE-2024-38080Microsoft Windows Hyper-V sanallaştırma teknolojisindeki bir ayrıcalık yükseltme açığı. Microsoft, bu açığın yerel erişime sahip bir saldırganın sistem düzeyinde ayrıcalıklar elde etmesine olanak sağladığını söyledi.

Microsoft, ürünlerindeki toplam 139 güvenlik açığı için düzeltmeler yayınladı ve bu da Temmuz güncellemesinin CVE hacminin şirketin güncellemelerinden daha büyük olmasına neden oldu. Mayıs Ve Haziran Birleştirilmiş.



siber-1