Microsoft, bu ayın başlarında bir düzeltme yayınlanmadan önce hatayı hedef alan istismar etkinliklerini gözlemlediğini bildirmişti
Bir saldırganın CVE-2023-36025’ten yararlanmak için kullanabileceği PoC İnternet kısayol dosyasının yakın zamanda piyasaya sürülmesi, bu güvenlik açığıyla ilgili endişeleri artıracağı kesin URL dosyasını açarak VHD’yi sistemlere otomatik olarak bağlamanın bir yolunu sunduğunu söyledi
PoC, kuruluşların henüz yapmamışlarsa hatayı giderme ihtiyacını artırıyor URL dosyasını nasıl oluşturup bunu bir kimlik avı e-postası yoluyla nasıl dağıtabileceğini gösterir
siber-1
Güvenlik Baypas Kusuru
CVE-2023-36025
Saldırganlara herhangi bir uyarı tetiklemeden Windows Defender SmartScreen denetimlerini geçerek kötü amaçlı kodları gizlice geçirme olanağı sağlayan bir güvenlik atlama kusurudur ”
CVE-2023-36025, Microsoft’un bu yıl şimdiye kadar açıkladığı SmartScreen’deki üçüncü sıfır gün hatasıdır
Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, Microsoft’un bu ayın başlarında SmartScreen güvenlik açığını ilk kez açıkladığında “SmartScreen, Windows tarafından kimlik avı saldırılarını veya kötü amaçlı web sitelerine erişimi ve güvenilmeyen veya potansiyel olarak kötü amaçlı dosyaların indirilmesini önlemek için kullanılıyor Ancak en çok Ursnif (diğer adıyla Gozi) bankacılık Truva Atı’nı ve yakın zamanda da adlandırılan gelişmiş bir ikinci aşama indiriciyi dağıtmasıyla tanınır
APT Group TA455 Kusuru Kötüye Kullananlar Arasında
CVE-2023-36025’i hedef alanlar arasında, Proofpoint ve diğerlerinin en az 2017’den beri takip ettiği, finansal motivasyona sahip, gelişmiş kalıcı tehdit (APT) aktörü TA544 yer alıyor “Bu güvenlik açığı, özel hazırlanmış bir dosyanın saldırganlar tarafından bu kontrolü atlamak için kullanılabileceğini ve işletim sisteminin genel güvenliğini azaltabileceğini gösteriyor vhd) dosyasının yolunu içeren bir WikiYükleyici
Microsoft’un Kasım 2023 aylık güvenlik güncelleştirmesinde bir düzeltme eki yayınladığı Windows SmartScreen teknolojisindeki kritik bir sıfır gün güvenlik açığı için kavram kanıtı istismarı kullanıma sunuldu Bu ayın başlarında birçok güvenlik araştırmacısı, CVE-2023-36025’in Microsoft’un Kasım güncellemesinde düzeltilmesi gereken yüksek öncelikli hatalar arasında olduğunu belirtmişti
Microsoft, hatanın düşük saldırı karmaşıklığı içerdiğini, yalnızca düşük ayrıcalıklar gerektirdiğini ve İnternet üzerinden yararlanılabileceğini tespit etti Güvenlik açığı Windows 10, Windows 11 ve Windows Server 2008 ve sonraki sürümlerde mevcuttur “Bu
Dosyaya tıklaması için kandırılan bir kullanıcı, SmartScreen’den olağan uyarıların hiçbirini almadan doğrudan kötü amaçlı siteye ulaşacak veya kötü amaçlı kod çalıştıracaktır Mevcut kampanya için tehdit aktörü, kullanıcıları Sanal Sabit Disk ( URL) veya böyle bir dosyaya işaret eden bir bağlantıya tıklamasını sağlaması gerekir Araştırmacı, “CVE-2023-36025’in kötüye kullanılması başarılı kimlik avı saldırılarına, kötü amaçlı yazılım dağıtımına ve diğer siber güvenlik tehditlerine yol açabilir” dedi organizasyonlar Batı Avrupa ve Japonya
Bu hafta Proofpoint’teki bir araştırmacı TA544’ü gözlemlediğini bildirdi Remcos’un dahil olduğu bir kampanyada CVE-2023-36025’in kötüye kullanılmasıçeşitli tehdit aktörlerinin yıllar boyunca kullandığı uzaktan erişim Truva atıduygusal olarak kontrol edin ve izleyin Windows aygıtlarının güvenliği ihlal edildi Tehdit grubu, yıllar boyunca, hedefleme kampanyalarında çeşitli kötü amaçlı yazılım araçları kullandı Saldırganın bu kusurdan yararlanabilmesi için, kullanıcının kötü amaçla oluşturulmuş bir İnternet kısayoluna ( Araştırmacı, CVE-2023-36025’in saldırganlara yalnızca Microsoft güvenlik açığını şu şekilde atadı: CVE-2023-24880 ve Mart ayında bunun için bir yama yayınladı Şubat ayında Google’daki araştırmacılar, daha önce bilinmeyen bir SmartScreen güvenlik açığını kullanarak Magniber fidye yazılımını hedef sistemlere bırakan bir tehdit aktörü buldu
Komut dosyası temel olarak bir saldırganın görünüşte meşru görünen ancak kötü amaçlı bir URL dosyasını kimlik avı e-postaları veya güvenliği ihlal edilmiş web siteleri aracılığıyla teslim edebilir” dedi ” demişti Temmuz ayında şirket yama uyguladı CVE-2023-32049SmartScreen’de, tehdit aktörlerinin yama sırasında aktif olarak istismar ettiği bir güvenlik atlama güvenlik açığı URL dosya kötü amaçlı bir web sitesine işaret ediyor ancak meşru bir şeymiş gibi sunulabilir” saldırı senaryosunu yazan araştırmacı kayıt edilmiş Araştırmacı, “Bir saldırgan, hazırlanmış bu