Daha evvelden bilinmeyen yazılım yanılgılarına sıfır gün açığı ismi veriliyor. Bu açıklar keşfedildiğinde önemli ve beklenmedik ziyanlar verilebilen makus emelli faaliyetler gizlice yürütülebiliyor.
Kaspersky araştırmacıları üstte bahsedilen saldırıyı incelerken iki adet sıfır gün açığı tespit etti. Internet Explorer’daki açık uzaktan kod çalıştırma imkanı sunuyordu. Bu açığa CVE-2020-1380 kodu verildi.
Lakin, Internet Explorer izole bir ortamda kullanıldığından saldırganlar makinede daha fazla yetkiye muhtaçlık duyuyordu. Bu yüzden, Windows’un yazıcı hizmetinde bulunan öteki açıktan yararlandılar. Bu açık, saldırganların gaye bilgisayarda istediği kodu çalıştırmasına imkan veriyordu. Yetki artışı sağlayan bu açığa CVE-2020-0986 kodu verildi.
Kaspersky Güvenlik Uzmanı Boris Larin, “Sıfır gün açıklarından yararlanılarak gerçekleştirilen akınlar siber güvenlik dünyası için büyük ehemmiyet taşıyor. Bu açıkların tespit edilmesi, markaları süratle bir yama çıkarmaya ve kullanıcıları gerekli tüm güncellemeleri yapmaya zorluyor. Daha evvel tespit edilen açıklar çoklukla yetki artışı ile ilgili oluyordu. Bu taarruzda ise değişik bir durum görüldü. Bu hadisede tespit edilen açıklardan biri çok daha tehlikeli sonuçlar doğurabilecek uzaktan kod çalıştırma imkanı sunuyordu. En son Windows 10 sürümlerinde bile yer alan bu açık, son periyotlarda pek görülmeyen tiptendi. Keşfedilen bu açıklar, sağlam tehdit istihbaratına ve başarısı kanıtlanmış güvenlik teknolojilerine yatırım yapmanın sıfır gün tehditlerine karşı proaktif müdafaa için ne kadar kıymetli olduğunu bir defa daha hatırlattı.” dedi.
Siber güvenlik uzmanları, yeni keşfedilen ve eski açıklardaki ufak benzerlikler nedeniyle bu taarruzun DarkHotel kümesi ile alakalı olabileceğini düşünüyor.
Güvenlik tahlilleri, bu açıklardan faydalanmaya çalışan ziyanlı yazılımı PDM:Exploit.Win32.Generic ismiyle tespit ediyor.
Yetki artışı için kullanılan CVE-2020-0986 açığı için yama 9 Haziran 2020 tarihinde yayınlandı.
Uzaktan kod çalıştırma için kullanılan CVE-2020-1380 açığı için yama 11 Ağustos 2020 tarihinde yayınlandı.
Uzmanlar, bu tehditten korunmak isteyenlere şu güvenlik tedbirlerini almalarını tavsiye ediyor:
Microsoft’un bu yeni açıklar için yayınladığı yamaları çabucak kurun. Yamaları kurduğunuzda tehdit aktörleri bu açıktan yararlanamayacak.
Güvenlik operasyonları grubunuzun en son tehdit istihbaratına erişmesini sağlayın.
Uç nokta düzeyinde tespit, soruşturma ve hadiselere vaktinde müdahale için bir uç nokta tespit ve müdahale tahlili kullanın.
Kesinlikle bulunması gereken uç nokta müdafaa tahlillerinin yanı sıra gelişmiş tehditleri birinci etapta ağ seviyesindeyken tespit eden kurumsal sınıf bir güvenlik tahlili kullanın.
