Son iki haftadır, bir siber güvenlik firması, bir güvenlik araştırmacısının internet üzerinden yayımladığı Windows açıklarını kullanarak en az bir organizasyona saldıran hackerların olduğunu belirtiyor.
Cuma günü, siber güvenlik şirketi Huntress, araştırmacılarının hackerların BlueHammer, UnDefend ve RedSun adındaki üç Windows güvenlik açığını kullandığını gördüğünü duyurdu.
Saldırının hedefinin kim olduğu ve hackerların kimler olduğu belirsizliğini koruyor.
Microsoft, açıklar arasında sadece BlueHammer’ı şu ana kadar düzeltmiş durumda. BlueHammer için bir düzeltme bu hafta başında yayımlandı.
Anlaşılan o ki, hackerlar, güvenlik araştırmacısının çevrimiçi olarak yayımladığı sömürü kodlarını kullanarak bu açıkları istismar ediyor.
Bu ayın başlarında, Chaotic Eclipse takma adıyla bilinen bir araştırmacı, Windows’ta yamanmamış bir açığı istismar etmek için kod yayımladığını blogunda açıkladı. Araştırmacı, bu kodu yayımlama motivasyonunun Microsoft ile bazı anlaşmazlıklar olduğunu belirtti.
“Microsoft’u kandırmıyordum ve bunu tekrar yapıyorum,” yazdı. “Bunun mümkün olmasını sağladıkları için MSRC yönetimine büyük teşekkürler,” diyerek, Microsoft’un siber saldırıları araştıran ve güvenlik açıklarını ele alan ekibine atıfta bulundu.
Birkaç gün sonra, Chaotic Eclipse UnDefend’i yayımladı, ardından bu hafta başında RedSun’ı paylaştı. Araştırmacı, söz konusu üç açığı istismar etmek için tüm kodu GitHub sayfasında yayımladı.
Bu üç açık, Microsoft’un geliştirdiği Windows Defender antivirüs yazılımını etkilemekte ve bir hackerın etkilenen bir Windows bilgisayarında yüksek seviye veya yönetici erişimi kazanmasına olanak sağlamaktadır.
TechCrunch, Chaotic Eclipse ile iletişime geçemedi.
Microsoft’un iletişim direktörü Ben Hope, belirli sorulara verdiği yanıtta, şirketin “koordineli güvenlik açığı ifşasını desteklediğini” ve bunun, sorunların dikkatlice incelenip ele alınmasını sağlamak amacıyla yaygın olarak benimsenen bir endüstri uygulaması olduğunu ifade etti. Bu durumun, hem müşteri korumasını hem de güvenlik araştırma topluluğunu desteklediğini ekledi.
Siber güvenlik endüstrisinde bu, “tam açıklama” olarak adlandırılan bir durum. Araştırmacılar bir açık bulduklarında, bunu etkilenen yazılım üreticisine bildirip düzeltmelerine yardımcı olabiliyorlar. Bu noktada, genellikle şirket, bildirimi kabul eder ve eğer açık geçerliyse, onu düzeltmek için çalışmaya başlar. Çoğunlukla, şirket ve araştırmacılar, araştırmacının bulgularını kamuya açıklayabileceği bir zaman çizelgesi üzerinde anlaşırlar.
Bazen, çeşitli nedenlerden dolayı bu iletişim kesintiye uğrayabilir ve araştırmacılar, açığın detaylarını kamuya açıklayabilir. Bazı durumlarda, açığın varlığını veya ciddiyetini kanıtlamak amacıyla, araştırmacılar “kanıt konsepti” kodunu yayımlayarak daha ileri adım atabilirler.
Böyle bir durumda, siber suçlular, devlet hackerları ve diğerleri, bu kodu alarak kendi saldırılarında kullanabilirler. Bu durum, siber güvenlik savunucularını acil durumla başa çıkmaya zorlar.
Huntress’teki araştırmalardan biri olan John Hammond, TechCrunch’a verdiği bilgide, “Şu anda bu açıkların bu kadar kolay erişilebilir olması ve hemen kullanılmak üzere silahlandırılması, iyi ya da kötü, bizi siber suçlularla bir tug-of-war maçına sokuyor,” dedi. “Bu tür senaryolar, defender’ları aceleci bir şekilde kötü niyetli aktörlerden korumaya çalışmaya zorlayarak, bu istismarları hızla avantaja dönüştürüyor.”
