WinRAR Güvenlik Açığı ve Siber Tehditler
Ukrayna’ya yönelik siber saldırılar, WinRAR’daki güvenlik açığı üzerinden devam ediyor. Bu açık, yamaları yayınlandıktan neredeyse bir yıl geçmesine rağmen, hala kötüye kullanılmakta ve bu durum ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırılar, CVE-2025-8088 olarak tanımlanan bir path traversal açığı ile gerçekleştiriliyor. Bu açık, saldırganların NTFS Alternate Data Streams (ADS) kullanarak dosyaları çıkarım dizininin dışına yazmasına olanak tanımaktadır. WinRAR, bu açığı Temmuz 2025‘te yamanmış olsa da, tehdit aktörleri hâlâ bu açığı hedef almaktadır. Trend Micro tarafından yapılan araştırmalarda, bu durumun korunmasız yazılımların, yamalar çıkarıldıktan sonra bile açık kalmaya devam ettiği gerçeğini ortaya koyduğu belirtilmektedir.
SHADOW-EARTH-066 grubunun kullandığı exploit zinciri, daha önce Excel makrolarını kullanan bir yaklaşımın aksine, özel hazırlanmış RAR arşivlerini içermekte. Bu arşivler, yanıltıcı bir PDF belgesi ve çıkarım dizininin dışındaki üç gizli ADS yükünü içermektedir. Bu yükler, kullanıcı giriş yaptığında otomatik olarak çalıştırılan bir Windows Shortcut (LNK) dosyası aracılığıyla devreye girmekte ve PowerShell yükleyicisi yoluyla güncellenmiş bir GIFTEDCROOK versiyonunu başlatmaktadır.
Etkilenen Sistemler
Bu kötü amaçlı yazılım, özellikle aşağıdaki hedefleri tehdit etmektedir:
- Chromium tabanlı tarayıcılar (Google Chrome, Microsoft Edge, Opera)
- Mozilla Firefox
- Belirli uzantılara sahip belgeler
Verilerin dış sunuculara aktarılması sonrası tüm kötü niyetli bileşenler silinerek delillerin izlenmesi engellenmektedir. Ayrıca, Telegram gibi platformlar yerine, özel komut ve kontrol (C2) sunucularına geçiş yapılmıştır.
Çözüm ve Korunma
Bu saldırılara karşı korunmanın yolları şunlardır:
- WinRAR versiyonunu güncelleyin. En son güvenlik yamalarının yüklü olduğundan emin olun.
- Açık portları kapatın. İnternete açık olan gereksiz portlar, saldırı yüzeyinizi artırır.
- Güvenlik çözümleri kullanın. Antivirüs yazılımları ve güvenlik duvarları ile sistemlerinizi koruyun.
- Kullanıcı farkındalığını artırın. Çalışanlarınızı sosyal mühendislik saldırılarına karşı eğitin.
Sonuç olarak, WinRAR’daki güvenlik açığı sebebiyle meydana gelen siber tehditler göz ardı edilmemelidir. Kullanıcılar ve organizasyonlar, sistemlerini korumak için gerekli güncellemeleri yapmalı ve güvenlik önlemlerini almalıdırlar.
