siber-1
Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, Microsoft’un bu ayın başlarında SmartScreen güvenlik açığını ilk kez açıkladığında “SmartScreen, Windows tarafından kimlik avı saldırılarını veya kötü amaçlı web sitelerine erişimi ve güvenilmeyen veya potansiyel olarak kötü amaçlı dosyaların indirilmesini önlemek için kullanılıyor” demişti “Bu güvenlik açığı, özel hazırlanmış bir dosyanın saldırganlar tarafından bu kontrolü atlamak için kullanılabileceğini ve işletim sisteminin genel güvenliğini azaltabileceğini gösteriyor
Komut dosyası temel olarak bir saldırganın görünüşte meşru görünen ancak kötü amaçlı bir
Windows SmartScreen teknolojisindeki kritik bir sıfır gün güvenlik açığı için bir kavram kanıtlama istismarı (PoC) kullanıma sunuldu “Bu
APT Group TA544 Kusuru Kötüye Kullananlar ArasındaCVE-2023-36025’i hedef alanlar arasında, Proofpoint ve diğerlerinin en az 2017’den beri takip ettiği, mali motivasyonlu, gelişmiş kalıcı tehdit (APT) aktörü TA544 yer alıyor Araştırmacı, CVE-2023-36025’in saldırganlara yalnızca zip dosyasına giden yolu içeren bir Tehdit grubu yıllar boyunca kampanyalarda çeşitli kötü amaçlı yazılım araçları kullandı
Bir saldırganın CVE-2023-36025’ten yararlanmak için kullanabileceği PoC İnternet kısayol dosyasının yakın zamanda piyasaya sürülmesi, bu güvenlik açığıyla ilgili endişeleri artıracağı kesin kuruluşları hedef alıyor Batı Avrupa ve Japonya
Microsoft, Kasım Yaması Salı güvenlik güncelleştirmesinde bu sorun için bir düzeltme eki yayınladı ancak hata o sırada sıfır gün olarak aktif olarak istismar ediliyordu Güvenlik açığı Windows 10, Windows 11, Windows Server 2008 ve sonraki sürümlerde mevcuttur Saldırganın bu kusurdan yararlanabilmesi için, kullanıcının kötü amaçla oluşturulmuş bir İnternet kısayoluna ( ”
Dosyaya tıklaması için kandırılan bir kullanıcı, SmartScreen’den olağan uyarıların hiçbirini almadan doğrudan kötü amaçlı siteye ulaşacak veya kötü amaçlı kod çalıştıracaktır URL) veya böyle bir dosyaya işaret eden bir bağlantıya tıklamasını sağlaması gerekir
Temmuz ayında şirket yama uyguladı CVE-2023-32049SmartScreen’de, tehdit aktörlerinin yama sırasında aktif olarak istismar ettiği bir güvenlik atlama güvenlik açığı WikiYükleyici “Bir saldırgan, hazırlanmış bu URL dosyasını nasıl oluşturup bunu bir kimlik avı e-postası yoluyla nasıl dağıtabileceğini gösterir
Bu hafta Proofpoint’teki bir araştırmacı TA544’ü gözlemlediğini bildirdi CVE-2023-36025’in kötüye kullanılması Çeşitli tehdit aktörlerinin yıllar boyunca kullandığı uzaktan erişim Truva Atı Remcos’u içeren bir kampanyada uzaktan kontrol ve izleme Windows aygıtlarının güvenliği ihlal edildi
Araştırmacı, “CVE-2023-36025’in kötüye kullanılması başarılı kimlik avı saldırılarına, kötü amaçlı yazılım dağıtımına ve diğer siber güvenlik tehditlerine yol açabilir” dedi
Defender’ı Geçmişe Geçmek için Güvenlik AtlamasıCVE-2023-36025 Saldırganlara herhangi bir uyarı tetiklemeden Windows Defender SmartScreen denetimlerini geçerek kötü amaçlı kodları gizlice geçirme olanağı sağlayan bir güvenlik atlama kusurudur
Microsoft, hatanın düşük saldırı karmaşıklığı içerdiğini, yalnızca düşük ayrıcalıklar gerektirdiğini ve İnternet üzerinden yararlanılabileceğini tespit etti ”
CVE-2023-36025, Microsoft’un bu yıl şimdiye kadar açıkladığı SmartScreen’deki üçüncü sıfır gün hatasıdır Ancak en çok Ursnif (aka Gozi) bankacılık Truva Atı’nı ve yakın zamanda da adlandırılan gelişmiş ikinci aşama indiriciyi dağıtmasıyla tanınır Microsoft güvenlik açığını şu şekilde atadı: CVE-2023-24880 ve Mart ayında bunun için bir yama yayınladı URL dosyasını açarak VHD’yi sistemlere otomatik olarak bağlamanın bir yolunu sunduğunu söyledi Mevcut kampanya için tehdit aktörü, kullanıcıları sanal bir sabit disk ( ” saldırı senaryosunu yazan araştırmacı kayıt edilmiş URL dosyasını kimlik avı e-postaları veya güvenliği ihlal edilmiş web siteleri aracılığıyla teslim edebilir URL dosyası kötü amaçlı bir web sitesine işaret ediyor ancak meşru bir şeymiş gibi sunulabilir