CISA, federal ajanslara, NATO kimlik avı saldırılarında Rus merkezli Romcom Cybercriminal Grubu tarafından kullanılan pencereleri ve ofis ürünlerini etkileyen uzaktan kod yürütmesini azaltmalarını emretti.
Güvenlik kusurları (toplu olarak CVE-2023-36884 olarak izlendi), Pazartesi günü CISA'nın bilinen sömürülen güvenlik açıkları listesine eklendi.
Kasım 2021'de yayınlanan Bağlayıcı Operasyonel Direktifi (BOD 22-01) uyarınca, ABD Federal Sivil Yürütme Şube Ajansları (FCEB) artık CVE-2023-36884'ten yararlanan saldırılara karşı Windows cihazlarını güvence altına almaları gerekmektedir.
Bir hafta önce Microsoft tarafından paylaşılan azaltma önlemlerini uygulayarak sistemlerini güvence altına almak için 8 Ağustos'a kadar federal ajanslara üç hafta verildi.
Kusur henüz ele alınmamış olsa da, Microsoft aylık serbest bırakma işlemi veya bant dışı güvenlik güncellemesi yoluyla yamalar vermeyi taahhüt etti.
Yamalar mevcut olana kadar Redmond, Office 365, Microsoft 365 uygulamaları (sürüm 2302 ve üstü) için Defender kullanan müşterilerin ve "Tüm Office uygulamalarının çocuk süreçlerini oluşturmasını engelleyen" saldırı yüzey azaltma kuralını CVE-2023'e karşı koruduğunu söylüyor -36884 Kimlik avı saldırıları.
Bu korumaları kullanmayanlar, özel_block_cross_protocol_file_navigation kayıt defteri anahtarına, saldırı vektörünü kaldırmak için verileri reg_dword değeri olarak ekleyebilir: excel.exe, grafik.exe, msaccess.exe, mspub.exe, powerpoint.exe. Visio.exe, winproj.exe, winword.exe, wordpad.exe.
Bununla birlikte, bu kayıt defteri tuşunu ayarlamanın CVE-2023-36884TACKS'ı bloke edeceğini belirtmek de önemlidir, ayrıca bazı Microsoft Office uygulamalarının işlevselliğini etkileyebilir.
Katalogun temel odağı ABD federal ajansları etrafında dönse de, özel şirketlerin CISA'nın KEV kataloğuna eklenen tüm güvenlik açıklarını yamalamaya öncelik vermeleri şiddetle tavsiye edilmektedir.
Cisa, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır."
Bu ayın Salı günü yayınlanan bir raporda Microsoft, CVE-2023-36884 sıfır günlerinin Kuzey Amerika ve Avrupa'daki devlet kuruluşlarına yönelik hedefli saldırılarda kullanıldığını doğruladı.
Redmond, "Kampanya, Microsoft'a Word belgeleri aracılığıyla açıklanmadan önce kullanılan uzaktan kod yürütme kırılganlığını içeren CVE-2023-36884'ün kötüye kullanılmasını içeriyordu." Dedi.
"Storm-0978 (Dev-0978; Romcom olarak da adlandırılır, diğer satıcılar tarafından arka kapılarının adı), fırsatçı fidye yazılımı ve sadece gasp operasyonları yürüttüğü bilinen Rusya'ya dayanan bir siber suçlu gruptur. -İstihbarat Operasyonlarını Destekleme Kampanyaları. "
"Aktörün Haziran 2023'te tespit edilen son kampanyası, Romcom ile benzerliklere sahip bir arka kapı sağlamak için CVE-2023-36884'ün kötüye kullanılmasını içeriyordu."
Blackberry'nin istihbarat ekibinden ve Ukrayna'nın bilgisayar acil müdahale ekibi (CERT-UA) araştırmacıları tarafından derlenen raporlara göre, saldırganlar Vilnius'taki NATO zirvesine katılan kuruluşları hedeflemek için Ukrayna Dünya Kongresi organizasyonunu taklit eden kötü niyetli ofis belgeleri kullandılar.
Bu ruse sayesinde, MagicsPell Loader ve Romcom Backdoor'u içeren kötü amaçlı yazılım yüklerini dağıtmak için hedeflerini başarıyla kandırdılar.
Romcom siber suç çetesi daha önce endüstriyel casus fidye yazılımı operasyonuyla bağlantılıydı ve şimdi Underground adı verilen yeni bir fidye yazılımı suşuna geçti. Mayıs 2022'de MalwareHunterTeam, bir endüstriyel casus fidye notunda e -posta adresini ve Tox kimliğini araştırırken Küba fidye yazılımı işlemine bir bağlantı buldu.
CISA, yakın zamanda yamalı Barracuda Zero-Day'in Govt ajanslarını uyarıyor
Microsoft: NATO Zirvesi Saldırılarında Sıralı Ofis Zero Day
Microsoft Temmuz 2023 Patch Salı 6 sıfır gün, 132 kusur uyardı
Trellix, Haziran Windows güncellemelerinden sonra hata kırma ofis uygulamalarını düzeltiyor
CISA, ajanslara casus yazılım saldırılarında istismar edilen iPhone hatalarını yamasını sipariş ediyor
Kaynak: Bleeping Computer