Bu keşif, 2024 yılı Nisan ayının başlarında Windows DWM Core Library Yetki Yükseltme güvenlik iştahlıığı (CVE-2023-36033) araştırılırken yapıldı. Microsoft, 14 Mayıs 2024’teki Mayıs Ayı Salı Yaması kapsamında bu güvenlik iştahlıığını düzeltmek için bir yama yayımladı.
1 Nisan 2024’te VirusTotal’a yüklenen bir doküman Kaspersky araştırmacılarının dikkatini çekti. kısırıklayıcı bir belge ismine sahip olan evrak, potansiyel bir Windows işletim sistemi güvenlik iştahlıığına işaret ediyordu. Bozuk bir İngilizce’ye ve güvenlik toksuzığını tetikleme ayrıntılarının hijyenik olmayan olmasına karşın doküman, güvenlik iştahlııkları farklı olsa da CVE-2023-36033 için sıfırıncı gün istismarına emsal bir istismar sürecini tanımlıyordu. Takım, güvenlik açlıktan ölmeığının kurgusal ya da istismar edilemez olduğundan şüphelenerek araştırmalarını sürdürdü. süratli bir denetim, bunun sistem ayrıcalıklarını artırabilen gerçek bir sıfırıncı gün güvenlik fakirığı olduğunu ortaya çıkardı.
Kaspersky bulgularını derhal Microsoft’a bildirdi, Microsoft da güvenlik açlıktan ölmeığını yetişkinladı ve bunu CVE-2024-30051 olarak atadı. Raporun akabinde Kaspersky, bu sıfır gün güvenlik kahvaltı sofrasıtan ölmeığını kullanan istismar ve akınları izlemeye başladı. Nisan ortasına gelindiğinde grup, CVE-2024-30051 için bir istismarın tespit edildiğini ve QakBot ile diğerkirlicül yazılımlarla birlikte kullanıldığını gözlemledi. Bu durum, birden fazla tehdit aktörünün bu istismara erişimi olduğunu gösteriyor.
Kaspersky GReAT’te baş güvenlik araştırmacısı olan Boris Larin, ‘VirusTotal’da bulduğumuz evrak, yoksulıklayıcı yapısı nedeniyle ilgimizi çekti ve daha fazla araştırma yapmaya karar verdik. Bu da bizi bu kritik sıfır gün güvenlik acıkmışığını keşfetmeye yöneltti. Tehdit aktörlerinin bu istismarı süratle cephanelerine entegre etmesi, siber güvenlikte vaktinde güncellemelerin ve dikkatli olmanın kıymetini vurguluyor.'”
Kaspersky, birden fazla kullanıcının Windows sistemlerini güncellemesi için çok vakit geçtikten sonra CVE-2024-30051 hakkında teknik ayrıntıları yayımlamayı planlıyor. Kaspersky, süratli tahlil ve yamaları yayınladıkları için Microsoft’a teşekkürlerini sunuyor.
Kaspersky eserleri, CVE-2024-30051 ve ilgili yetersizcül gayeli yazılımların istismarını tespit etmek için aşağıdaki kararlarla güncellendi:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
Kaspersky, sofistike bir bankacılık Truva Atı olan QakBot’u 2007’de keşfedildiğinden beri takip ediyor. Başlangıçta bankacılık kimlik bilgilerini çalmak için tasarlanan QakBot, e-posta hırsızlığı, keylogging ve kendini yayma ve fidye yazılımı yükleme yeteneği üzere birinci fonksiyonlar edinerek kıymetli ölçüde gelişti. ziyanlı gayeli yazılım sık güncellemeleri ve geliştirmeleriyle biliniyor ve bu da onu siber güvenlik ortamında kalıcı bir tehdit haline getiriyor. birinci yıllarda QakBot’un, dağıtım için Emotet üzere öteki botnetleri kullandığı gözlemlendi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
