Daha evvelden bilinmeyen yazılım yanılgılarına sıfır gün açığı ismi veriliyor. Bu açıklar keşfedildiğinde önemli ve beklenmedik ziyanlar verilebilen berbat hedefli faaliyetler gizlice yürütülebiliyor.

Kaspersky araştırmacıları üstte bahsedilen saldırıyı incelerken iki adet sıfır gün açığı tespit etti. Internet Explorer’daki açık uzaktan kod çalıştırma imkanı sunuyordu. Bu açığa CVE-2020-1380 kodu verildi. 

Fakat, Internet Explorer izole bir ortamda kullanıldığından saldırganlar makinede daha fazla yetkiye muhtaçlık duyuyordu. Bu yüzden, Windows’un yazıcı hizmetinde bulunan öbür açıktan yararlandılar. Bu açık, saldırganların gaye bilgisayarda istediği kodu çalıştırmasına imkan veriyordu. Yetki artışı sağlayan bu açığa CVE-2020-0986 kodu verildi. 

Kaspersky Güvenlik Uzmanı Boris Larin, “Sıfır gün açıklarından yararlanılarak gerçekleştirilen taarruzlar siber güvenlik dünyası için büyük kıymet taşıyor. Bu açıkların tespit edilmesi, markaları süratle bir yama çıkarmaya ve kullanıcıları gerekli tüm güncellemeleri yapmaya zorluyor. Daha evvel tespit edilen açıklar çoklukla yetki artışı ile ilgili oluyordu. Bu taarruzda ise değişik bir durum görüldü. Bu olayda tespit edilen açıklardan biri çok daha tehlikeli sonuçlar doğurabilecek uzaktan kod çalıştırma imkanı sunuyordu. En son Windows 10 sürümlerinde bile yer alan bu açık, son periyotlarda pek görülmeyen tiptendi. Keşfedilen bu açıklar, sağlam tehdit istihbaratına ve başarısı kanıtlanmış güvenlik teknolojilerine yatırım yapmanın sıfır gün tehditlerine karşı proaktif müdafaa için ne kadar kıymetli olduğunu bir defa daha hatırlattı.” dedi. 

Siber güvenlik uzmanları, yeni keşfedilen ve eski açıklardaki ufak benzerlikler nedeniyle bu taarruzun DarkHotel kümesi ile bağlantılı olabileceğini düşünüyor.  

Güvenlik tahlilleri, bu açıklardan faydalanmaya çalışan ziyanlı yazılımı PDM:Exploit.Win32.Generic ismiyle tespit ediyor. 

Yetki artışı için kullanılan CVE-2020-0986 açığı için yama 9 Haziran 2020 tarihinde yayınlandı.

Uzaktan kod çalıştırma için kullanılan CVE-2020-1380 açığı için yama 11 Ağustos 2020 tarihinde yayınlandı. 

Uzmanlar, bu tehditten korunmak isteyenlere şu güvenlik tedbirlerini almalarını tavsiye ediyor:

Microsoft’un bu yeni açıklar için yayınladığı yamaları çabucak kurun. Yamaları kurduğunuzda tehdit aktörleri bu açıktan yararlanamayacak.

Güvenlik operasyonları grubunuzun en son tehdit istihbaratına erişmesini sağlayın. 

Uç nokta düzeyinde tespit, soruşturma ve olaylara vaktinde müdahale için bir uç nokta tespit ve müdahale tahlili kullanın.

Kesinlikle bulunması gereken uç nokta muhafaza tahlillerinin yanı sıra gelişmiş tehditleri birinci kademede ağ seviyesindeyken tespit eden kurumsal sınıf bir güvenlik tahlili kullanın.

Hürriyet