Kaspersky, Microsoft Windows Ve Chrome Tarayicisinda Sifir Gün Açiklari Tespit Etti
GReAT Kidemli Güvenlik Arastirmacisi Boris Larin: 'Genel olarak son zamanlarda, sifir gün açiklarindan kaynaklanan yüksek profilli tehdit faaliyeti dalgasi görüyoruz. Sifir gün açiklari hedefe bulasmak için en etkili yöntem olmaya devam ediyor' 'Kullanicilarin Microsoft'un yayinladigi en son yamalari mümkün olan en kisa sürede yüklemeleri gerekiyor'
Kaspersky uzmanlari, nisan ayinda daha önce kesfedilmemis Google Chrome ve Microsoft Windows sifir gün açiklarini kullanarak çok sayida sirketi hedefleyen bir saldiri dizisi kesfetti.
Sirketten yapilan açiklamaya göre, son aylarda sifir gün açiklarini kullanan yeni bir gelismis tehdit dalgasi sahada öne çikti. Nisan ayinin ortalarinda Kaspersky uzmanlari, saldirganlarin hedeflenen aglari gizlice ele geçirmesine olanak taniyan, çok sayida sirkete yönelik yeni bir yüksek düzeyde hedefli açiklardan yararlanan tehdit dalgasi kesfetti. Kaspersky, bu saldirilarla bilinen tehdit aktörleri arasinda henüz bir baglanti bulamadi. Bu nedenle bu yeni oyuncuya "PuzzleMaker" adi verildi.
Saldirilar, Chrome tarayicisi üzerinden gerçeklestirildi ve uzaktan kod yürütmeye izin veren bir açiktan yararlanildi. Kaspersky arastirmacilari, uzaktan yürütme açiginin kodunu alamamis olsa da zaman çizelgesi ve kullanim aktiviteleri saldirganlarin su anda yamanmis olan CVE-2021-21224 güvenlik açigini kullandigini gösteriyor. Bu güvenlik açigi, Chrome ve Chromium web tarayicilari tarafindan kullanilan bir JavaScript motoru olan V8'deki Tür Uyusmazligi hatasiyla ilgili ve saldirganlarin Chrome derleyici sürecinden yararlanmalarina olanak taniyor.
Kaspersky uzmanlari, Microsoft Windows isletim sistemi çekirdegindeki iki farkli güvenlik açigindan yararlanan ikinci istismari bulup analiz etmeyi basardi. Hassas çekirdek bilgilerini sizdiran bu güvenlik açigi, "CVE-2021-31955" olarak isaretlendi. Bu açik ilk olarak Windows Vista ile tanitilan ve yaygin olarak kullanilan uygulamalari bellege önceden yükleyerek yazilim yükleme sürelerini azaltmayi amaçlayan bir özellik olan SuperFetch ile baglantili durumda bulunuyor.
Saldirganlarin çekirdekten yararlanmasina ve bilgisayara erisim elde etmesine olanak taniyan ikinci güvenlik açigi "CVE-2021-31956" adiyla biliniyor ve yigin tabanli arabellek tasmasina karsilik geliyor. Saldirganlar, rastgele bellek okuma/yazma ilkeleri olusturmak ve sistem ayricaliklariyla kötü amaçli yazilim modüllerini yürütmek için Windows Bildirim Tesisi (WNF) ile birlikte CVE-2021-31956 güvenlik açigini kullaniyor.
Saldirganlar, hedeflenen sisteme yerlesmek için hem Chrome hem de Windows açiklarindan yararlandiktan sonra asamali bir modül yardimiyla uzak sunucudan daha karmasik bir kötü amaçli yazilimi indirip çalistiriyor. Daha sonra Microsoft Windows isletim sistemine ait mesru dosyalar gibi görünen iki çalistirilabilir dosya yükleniyor. Bu dosyalardan ikincisi dosyalari indirip yükleyebilen, görevler olusturabilen, belirli süre boyunca uyuyabilen ve virüs bulasmis sistemden kendisini silebilen bir uzak kabuk modülüne karsilik geliyor.
Microsoft, her iki Windows güvenlik açigi için yamalari yayinladi.
- "Diger tehdit aktörleri tarafindan saldirilarda kullanildigini görmemiz mümkün"
Açiklamada görüslerine yer verilen Küresel Arastirma ve Analiz Ekibi (GReAT) Kidemli Güvenlik Arastirmacisi Boris Larin, "Bu saldirilar yüksek oranda hedeflenmis olsa da onlari henüz bilinen herhangi bir tehdit aktörüne baglamadik. Bu nedenle arkasindaki aktöre PuzzleMaker adini verdik. Bu grubun gelecekteki faaliyetlerini veya yeni bilgiler için güvenlik ortamini yakindan izleyecegiz. Genel olarak son zamanlarda, sifir gün açiklarindan kaynaklanan yüksek profilli tehdit faaliyeti dalgasi görüyoruz. Sifir gün açiklari hedefe bulasmak için en etkili yöntem olmaya devam ediyor. Ayrica, söz konusu güvenlik açiklari artik bilinir hale geldiginden diger tehdit aktörleri tarafindan saldirilarda kullanildigini görmemiz mümkün. Bu nedenle kullanicilarin Microsoft'un yayinladigi en son yamalari mümkün olan en kisa sürede yüklemeleri gerekiyor." ifadelerini kullandi.
Kaspersky ürünleri, söz konusu güvenlik açiklarina ve ilgili kötü amaçli yazilim modüllerine yönelik istismari algiliyor ve bunlara karsi koruma sagliyor.
- Kaspersky'den öneriler
Kaspersky uzmanlari, kurulusu söz konusu güvenlik açiklarindan yararlanan saldirilardan korumak için sunlari öneriyor:
"Chrome tarayicinizi ve Microsoft Windows'u mümkün olan en kisa sürede güncelleyin ve bunu düzenli olarak yapin. Kaspersky Endpoint Security for Business gibi kötüye kullanimi önleme, davranis algilama ve kötü amaçli eylemleri geri alabilen bir düzeltme motoruyla desteklenen güvenilir bir uç nokta güvenlik çözümü kullanin. Tehdit kesfi ve tespiti, sorusturma ve olaylarin zamaninda düzeltilmesi için yetenekler sunan anti-APT ve EDR çözümleri kurun. SOC ekibinize en son tehdit istihbaratina erisimini saglayin ve profesyonel egitimlerle becerilerini düzenli olarak güncelleyin. Bunlarin tümü Kaspersky Expert Security framework dahilinde mevcuttur. Uygun uç nokta korumasinin yani sira özel hizmetler yüksek profilli saldirilara karsi yardimci olabilir. Kaspersky Managed Detection and Response hizmeti, saldirganlar hedeflerine ulasmadan önce saldirilari erken asamalarinda belirlemenize ve durdurmaniza yardimci olur."
Kaynak: AA
Sirketten yapilan açiklamaya göre, son aylarda sifir gün açiklarini kullanan yeni bir gelismis tehdit dalgasi sahada öne çikti. Nisan ayinin ortalarinda Kaspersky uzmanlari, saldirganlarin hedeflenen aglari gizlice ele geçirmesine olanak taniyan, çok sayida sirkete yönelik yeni bir yüksek düzeyde hedefli açiklardan yararlanan tehdit dalgasi kesfetti. Kaspersky, bu saldirilarla bilinen tehdit aktörleri arasinda henüz bir baglanti bulamadi. Bu nedenle bu yeni oyuncuya "PuzzleMaker" adi verildi.
Saldirilar, Chrome tarayicisi üzerinden gerçeklestirildi ve uzaktan kod yürütmeye izin veren bir açiktan yararlanildi. Kaspersky arastirmacilari, uzaktan yürütme açiginin kodunu alamamis olsa da zaman çizelgesi ve kullanim aktiviteleri saldirganlarin su anda yamanmis olan CVE-2021-21224 güvenlik açigini kullandigini gösteriyor. Bu güvenlik açigi, Chrome ve Chromium web tarayicilari tarafindan kullanilan bir JavaScript motoru olan V8'deki Tür Uyusmazligi hatasiyla ilgili ve saldirganlarin Chrome derleyici sürecinden yararlanmalarina olanak taniyor.
Kaspersky uzmanlari, Microsoft Windows isletim sistemi çekirdegindeki iki farkli güvenlik açigindan yararlanan ikinci istismari bulup analiz etmeyi basardi. Hassas çekirdek bilgilerini sizdiran bu güvenlik açigi, "CVE-2021-31955" olarak isaretlendi. Bu açik ilk olarak Windows Vista ile tanitilan ve yaygin olarak kullanilan uygulamalari bellege önceden yükleyerek yazilim yükleme sürelerini azaltmayi amaçlayan bir özellik olan SuperFetch ile baglantili durumda bulunuyor.
Saldirganlarin çekirdekten yararlanmasina ve bilgisayara erisim elde etmesine olanak taniyan ikinci güvenlik açigi "CVE-2021-31956" adiyla biliniyor ve yigin tabanli arabellek tasmasina karsilik geliyor. Saldirganlar, rastgele bellek okuma/yazma ilkeleri olusturmak ve sistem ayricaliklariyla kötü amaçli yazilim modüllerini yürütmek için Windows Bildirim Tesisi (WNF) ile birlikte CVE-2021-31956 güvenlik açigini kullaniyor.
Saldirganlar, hedeflenen sisteme yerlesmek için hem Chrome hem de Windows açiklarindan yararlandiktan sonra asamali bir modül yardimiyla uzak sunucudan daha karmasik bir kötü amaçli yazilimi indirip çalistiriyor. Daha sonra Microsoft Windows isletim sistemine ait mesru dosyalar gibi görünen iki çalistirilabilir dosya yükleniyor. Bu dosyalardan ikincisi dosyalari indirip yükleyebilen, görevler olusturabilen, belirli süre boyunca uyuyabilen ve virüs bulasmis sistemden kendisini silebilen bir uzak kabuk modülüne karsilik geliyor.
Microsoft, her iki Windows güvenlik açigi için yamalari yayinladi.
- "Diger tehdit aktörleri tarafindan saldirilarda kullanildigini görmemiz mümkün"
Açiklamada görüslerine yer verilen Küresel Arastirma ve Analiz Ekibi (GReAT) Kidemli Güvenlik Arastirmacisi Boris Larin, "Bu saldirilar yüksek oranda hedeflenmis olsa da onlari henüz bilinen herhangi bir tehdit aktörüne baglamadik. Bu nedenle arkasindaki aktöre PuzzleMaker adini verdik. Bu grubun gelecekteki faaliyetlerini veya yeni bilgiler için güvenlik ortamini yakindan izleyecegiz. Genel olarak son zamanlarda, sifir gün açiklarindan kaynaklanan yüksek profilli tehdit faaliyeti dalgasi görüyoruz. Sifir gün açiklari hedefe bulasmak için en etkili yöntem olmaya devam ediyor. Ayrica, söz konusu güvenlik açiklari artik bilinir hale geldiginden diger tehdit aktörleri tarafindan saldirilarda kullanildigini görmemiz mümkün. Bu nedenle kullanicilarin Microsoft'un yayinladigi en son yamalari mümkün olan en kisa sürede yüklemeleri gerekiyor." ifadelerini kullandi.
Kaspersky ürünleri, söz konusu güvenlik açiklarina ve ilgili kötü amaçli yazilim modüllerine yönelik istismari algiliyor ve bunlara karsi koruma sagliyor.
- Kaspersky'den öneriler
Kaspersky uzmanlari, kurulusu söz konusu güvenlik açiklarindan yararlanan saldirilardan korumak için sunlari öneriyor:
"Chrome tarayicinizi ve Microsoft Windows'u mümkün olan en kisa sürede güncelleyin ve bunu düzenli olarak yapin. Kaspersky Endpoint Security for Business gibi kötüye kullanimi önleme, davranis algilama ve kötü amaçli eylemleri geri alabilen bir düzeltme motoruyla desteklenen güvenilir bir uç nokta güvenlik çözümü kullanin. Tehdit kesfi ve tespiti, sorusturma ve olaylarin zamaninda düzeltilmesi için yetenekler sunan anti-APT ve EDR çözümleri kurun. SOC ekibinize en son tehdit istihbaratina erisimini saglayin ve profesyonel egitimlerle becerilerini düzenli olarak güncelleyin. Bunlarin tümü Kaspersky Expert Security framework dahilinde mevcuttur. Uygun uç nokta korumasinin yani sira özel hizmetler yüksek profilli saldirilara karsi yardimci olabilir. Kaspersky Managed Detection and Response hizmeti, saldirganlar hedeflerine ulasmadan önce saldirilari erken asamalarinda belirlemenize ve durdurmaniza yardimci olur."