Bir Kaspersky analizine göre, Microsoft’un geçen Eylül ayında yamalanan MSHTML tarayıcı motorundaki bir uzaktan kod yürütme güvenlik açığını hedefleyen saldırılar, bu yılın ikinci çeyreğinde arttı.
Kaspersky araştırmacıları, kusuru hedefleyen en az 4.886 saldırı saydı (CVE-2021-40444) son çeyrekte, 2022’nin ilk çeyreğine göre sekiz kat artış. Güvenlik sağlayıcısı, güvenlik açığına yönelik düşmanca ilginin devam etmesini, güvenlik açığından yararlanma kolaylığına bağladı.
Kaspersky, enerji ve sanayi sektörleri, araştırma ve geliştirme, BT şirketleri ve finansal ve tıbbi teknoloji firmaları dahil olmak üzere birden fazla sektördeki kuruluşlara yönelik saldırılardaki kusurdan yararlanan tehdit aktörlerini gözlemlediğini söyledi. Bu saldırıların çoğunda, düşmanlar, kurbanları özel hazırlanmış Office belgelerini açmaya çalışmak ve daha sonra kötü amaçlı bir komut dosyasını indirip yürütecek olan sosyal mühendislik hilelerini kullandılar. Kusur, Microsoft’un Eylül 2021’de ilk açıkladığı sırada aktif saldırı altındaydı.
MSHTML kusurunu hedefleyen saldırılar, son çeyrekte Microsoft güvenlik açıklarını ezici bir şekilde hedef alan daha geniş bir istismar etkinliğinin parçasıydı. Kaspersky’ye göre, Windows güvenlik açıklarına yönelik istismarlar %82’yi oluşturuyor 2022’nin ikinci çeyreğinde tüm platformlardaki tüm istismarların sayısı. MSHTML güvenlik açığına yönelik saldırılar en çarpıcı biçimde artarken, hiçbir şekilde en fazla istismar edilen açık değildi.
Tehdit Aktörleri için Eski Altındır
Kaspersky’nin telemetrisi, 2018 ve 2017 yılları arasında bir avuç başka güvenlik açığına çok daha fazla saldırı olduğunu gösterdi. CVE-2018-0802Microsoft Office’te geçen çeyrekte 345.827 kez saldırıya uğrayan bir uzaktan kod yürütme (RCE) güvenlik açığı. 2017’den başka bir benzer bellek bozulması hatası (CVE-2017-11882) 140.623 saldırıda hedef alınırken, yine 2017’den itibaren bir Microsoft Office/WordPad uzaktan kod yürütme hatası (CVE-2017-0199) 60.132 saldırıya karıştı.
Microsoft Support Diagnostic Tool’daki (MSDT) Follina güvenlik açığı (CVE-2022-30190) son zamanlardaki güvenlik açıklarının en çok hedeflenenleri arasındaydı. RCE kusuru en azından beş sıfır gün kusuru Microsoft’un bu yıl açıkladığı.
Toplamda Kaspersky, ikinci çeyrekte yarım milyondan fazla kullanıcıya yönelik saldırılarda kullanılan Microsoft Office’in eski sürümlerinde güvenlik açıkları buldu. Güvenlik sağlayıcısı, saldırıların, eski teknolojilerdeki yama uygulanmamış güvenlik açıklarının tehdit aktörleri için nasıl popüler ve oldukça çekici bir hedef olmaya devam ettiğinin bir başka hatırlatıcısı olduğunu belirtti. Kaspersky, “Uygulamaların eski sürümleri, son çeyrekte karşılık gelen güvenlik açıklarından toplamda yaklaşık 547.000 kullanıcının etkilendiği, saldırganların ana hedefi olmaya devam ediyor” dedi.
Kaspersky’nin raporu, güvenlik uzmanlarının Microsoft güvenlik açıklarının hızlı bir şekilde yamalanmasını neden savunduğunun bir başka hatırlatıcısıdır. Son veriler, saldırganların kusurlardan yararlanma konusunda eskisinden çok daha hızlı olduğunu gösterdi. Rapid7’nin geçen yıl yaptığı bir araştırma, bilinen sömürü için ortalama süre 2021’deki güvenlik açıkları için yalnızca 12 gündü – 2020’deki 42 günden %71’lik bir düşüş. Şirket, rakamların sıfırıncı gün açıklarından yararlanma etkinliğindeki keskin bir artıştan kaynaklandığını açıkladı. Rapid7, “Yıldan yıla kullanım süresinde ciddi bir azalma, yalnızca iyi yıpranmış acil durum yama prosedürlerinin gerekli olduğu değil, olay müdahale protokollerinin de tekrar tekrar kullanılmasını gerektireceği anlamına geliyor” dedi.
