CISA, ABD federal ajanslarına, Bashee Apt Hacking Grubu tarafından sömürülen sıfır gün hatasını yakın zamanda yamalı bir Windows MSHTML Sahtekarlığına karşı güvence altına almalarını emretti.
Güvenlik açığı (CVE-2024-43461) Salı günü bu ayın yaması boyunca açıklandı ve Microsoft başlangıçta saldırılarda sömürülmemiş olarak sınıflandırdı. Ancak Microsoft, düzeltilmeden önce saldırılarda kullanıldığını doğrulamak için Cuma günü danışmanlığı güncelledi.
Microsoft, saldırganların Temmuz 2024'ten önce CVE-2024-43461'i, başka bir MSTML sahtekâr hatası olan CVE-2024-38112 ile istismar zincirinin bir parçası olarak kullandıklarını açıkladı.
"Bu saldırı zincirini kıran Temmuz 2024 güvenlik güncellemelerimizde CVE-2024-38112 için bir düzeltme yayınladık" dedi. "Müşteriler kendilerini tam olarak korumak için hem Temmuz 2024 hem de Eylül 2024 güvenlik güncellemesi olmalıdır."
Güvenlik kusurunu bildiren Trend Micro Sıfır Günü Girişimi (ZDI) tehdit araştırmacısı Peter Girnus, BleepingComputer'a Banshee bilgisayar korsanlarının bilgi çalma kötü amaçlı yazılım yüklemek için sıfır gün saldırılarında kullandığını söyledi.
Güvenlik açığı, uzak saldırganların hedefleri kötü niyetli bir web sayfasını ziyaret etmek veya kötü amaçlı bir dosyayı açarak kandırmadan, açılmamış Windows sistemlerinde keyfi kod yürütmelerini sağlar.
ZDI Danışmanlığı, "Belirli bir kusur, bir dosya indirildikten sonra Internet Explorer'ın kullanıcıyı istediği şekilde var." "Hazırlanmış bir dosya adı, gerçek dosya uzantısının gizlenmesine neden olabilir, kullanıcıyı dosya türünün zararsız olduğuna inanmak için yanıltıcı olabilir. Bir saldırgan, geçerli kullanıcı bağlamında kodu yürütmek için bu güvenlik açığından yararlanabilir."
PDF belgeleri olarak kamufle edilmiş kötü amaçlı HTA dosyaları sunmak için CVE-2024-43461 istismarlarını kullandılar. .HTA uzantısını gizlemek için 26 kodlanmış Braille Beyaz Alanı karakterini kullandılar (%E2%A0%80).
Temmuz ayında Check Point Research ve Trend Micro tarafından açıklandığı gibi, bu saldırılarda konuşlandırılan Atlantida bilgi çalma kötü amaçlı yazılımları, enfekte cihazlardan şifreleri, kimlik doğrulama çerezlerini ve kripto para birimi cüzdanlarını çalmaya yardımcı olabilir.
Void Banshee, ilk olarak Trend Micro tarafından tanımlanan ve Kuzey Amerika, Avrupa ve Güneydoğu Asya'daki kuruluşları finansal kazanç ve veri çalmak için hedeflemek için bilinen uygun bir hack grubudur.
Bugün, CISA, bilinen sömürülen güvenlik açıkları kataloğuna MSHTML sahtekarlığı kırılganlığını ekledi, aktif olarak sömürülen olarak etiketledi ve federal ajanslara 7 Ekim'e kadar savunmasız sistemleri üç hafta içinde güvence altına almalarını emretti.
Siber güvenlik ajansı, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır." Dedi.
CISA'nın KEV kataloğu öncelikle federal ajansları güvenlik kusurları konusunda uyarmaya odaklansa da, dünya çapında özel kuruluşların devam eden saldırıları engellemek için bu kırılganlığı azaltmaya öncelik vermeleri tavsiye edilir.
Microsoft, Eylül 2024 Yaması Salı günü aktif olarak sömürülen üç sıfır gün daha yamaladı. Bu, en az 2018'den beri LNK stomping saldırılarında kullanılan bir güvenlik açığı olan CVE-2024-38217'yi içerir.
Windows Güvenlik Açığı Braille “Alanları” sıfır gün saldırılarında istismar etti
Microsoft Eylül 2024 Patch Salı 4 sıfır gün, 79 kusur düzeltiyor
Windows Update Downgrade Saldırı "Uncatches" tam güncellenmiş sistemler
Yeni Windows Smartscreen Bypass Mart ayından bu yana sıfır gün olarak sömürüldü
Microsoft Ağustos 2024 Patch Salı 9 sıfır gün, 6 sömürü düzeltiyor
Kaynak: Bleeping Computer