Microsoft’un gözlemlerine göre, Storm-2460 adı verilen bir tehdit aktörü, Windows Common Log File System Driver’daki bir kullanımdan sonra boş (use after free) açığı kötüye kullanıyor mu?
Bu açık, PipeMagic’ın dağıtılması için mi kullanılıyor, bu durumda fidye yazılımı dağıtmak için nasıl bir araç işlevi görüyor?
Kullanıcılara tavsiyeler nelerdir?
Storm-2460 ve Kullanımdan Sonra Boş Açığı
Microsoft, Storm-2460 adlı bir siber tehdit aktörünün Windows Common Log File System (CLFS) sürücüsünde bulunan bir kullanımdan sonra boş (use after free) açığını kötüye kullandığını gözlemledi. Bu açık, tehdit aktörlerinin yerel olarak yetki yükseltmelerine olanak tanıyor. Microsoft’un Güvenlik Yanıt Merkezi, bu açığın kullanımıyla ilgili bir rapor yayınladı ve açığa CVE-2025-29824 referans numarası verildi. Bu açığın yüksek bir önem derecesi var ve 10 üzerinden 7.8 puan aldı.
Söz konusu açık, kötü niyetli aktörlerin sistemleri ele geçirdikten sonra istedikleri yetkilere ulaşmalarına yardımcı oluyor. Kullanımdan sonra boş açığı, siber saldırganların sistemlere erişimini artırarak fidye yazılımı saldırılarında daha geniş bir yetki alanı elde etmesine olanak tanıyor. Microsoft, bu tür açıkların siber suçlular tarafından değerlendirildiğini ve kullanımının son derece tehlikeli olduğunu vurguladı.
PipeMagic ve RansomEXX
Bu süreçte PipeMagic adlı bir kötü amaçlı yazılımın devreye girdiği görülüyor. Storm-2460, bu özel açığı kullanarak PipeMagic arka kapı trojanını dağıtmaktadır. PipeMagic, siber suçlulara fidye yazılımı dağıtma ve kontrol elde etme kapasitesi sunuyor. RansomEXX, bu vakada kullanılan fidye yazılımı türü olarak dikkat çekiyor. RansomEXX, pek yaygın bir fidye yazılımı olmasa da, Storm-2460’ın hedef aldığı bazı özel sektördeki organizasyonların sistemlerini ele geçirmede etkili bir araçtır.
Microsoft’un raporuna göre, Storm-2460 bu açığı kullanarak yalnızca "küçük bir sayıdaki" organizasyona saldırı gerçekleştirmiştir. Bu organizasyonlar genellikle IT, finans ve perakende sektörlerinde faaliyet göstermektedir ve özellikle Amerika Birleşik Devletleri, Venezuela, İspanya ve Suudi Arabistan gibi ülkelerde yer almaktadır. Kötü niyetli aktörler, sistemlere sızdıktan sonra PipeMagic aracılığıyla fidye yazılımını devreye sokarak finansal kazanç elde etmeyi hedefliyorlar.
Kullanıcıların Alması Gereken Önlemler
Microsoft, kullanıcıları bu güvenlik açığını hemen düzeltmeleri için güncellemeleri uygulamaları yönünde uyarıyor. Program güncellemeleri, kullanıcıların bilgisayarlarını daha güvenli hale getirmenin yanı sıra, potansiyel fidye yazılımı saldırılarına karşı savunma mekanizması da oluşturmakta önemli bir rol oynar.
Microsoft, özellikle yetki yükseltme açıkları için güvenlik güncellemelerinin öncelikli olarak uygulanmasını tavsiye ediyor. Bu tür önlemler, potansiyel hedeflerin saldırganlar tarafından sistemlerin ele geçirilmesine karşı hazırlıklı olmasını sağlar. Kullanıcıların, özellikle iş yerlerinde bu güncellemeleri yapmaları, siber güvenlik açısından hayati önem taşıyor.
Özellikle IT ve finans sektörlerinde, güvenlik güncellemelerinin düzenli olarak takip edilmesi ve uygulanması, kurumsal sistemlerin güvenliğini artırmak için kritik bir gereklilik haline gelmiştir.
Siber dünyada yeni tehditlerin hızla ortaya çıkması ve gelişmesi nedeniyle, bireylerin ve organizasyonların güvenlik önlemlerine dikkat etmesi ve zamanında müdahale etmeleri önemlidir. Kötü niyetli aktörler, buldukları her türlü zafiyeti değerlendirip, bu tür açılardan yararlanarak mali kazanç sağlamaya çalışacaklardır. Bu da kullanıcıların sistemlerini güncel tutma ve potansiyel tehditleri ortadan kaldırma gereksinimini bir zorunluluk haline getirmektedir.
Bu bağlamda, kullanıcıların hem kişisel hem de kurumsal bilgisayarlarında güvenlik yazılımlarını aktif tutmaları, ağ güvenliğini sağlamaları ve her tür güncellemeyi zamanında yapmaları gerekmektedir. Unutulmaması gereken bir diğer nokta da, kullanıcıların bilinçli bir şekilde siber güvenlik konusunda kendilerini eğitmeleri ve hoş karşılamadıkları e-posta veya dosya paylaşımlarına karşı dikkatli olmalarıdır.
Sonuç olarak, Storm-2460’ın kötüye kullandığı açık, kullanıcılar açısından yüksek bir tehdit oluşturmakta. Bu tür durumlarla karşılaşmamak için, güncellemeleri aksatmadan uygulamak ve bu konudaki farkındalığı artırmak gerekmektedir.
