Microsoft, saldırganlar tarafından Windows SmartScreen bulut tabanlı kötü amaçlı yazılım önleme hizmetini atlatmak ve herhangi bir kırmızı bayrak oluşturmadan Magniber Fidye yazılımı yüklerini dağıtmak için kullanılan başka bir sıfır gün hatasını yamaladı.
Saldırganlar, bu güvenlik özelliği bypass güvenlik açığı (CVE-2023-24880 olarak izlenir) kullanmak için özel olarak hazırlanmış bir Authenticode imzasıyla imzalanmış kötü amaçlı MSI dosyalarını kullanıyorlar.
İmza geçersiz olmasına rağmen, akıllı ekran kandırmak ve Web'in İşareti (MOTW) güvenlik uyarılarının patlamasını önlemek ve kullanıcıların internetten dosya açarken dikkatli olmaları için uyarı vermek yeterlidir.
Aktif olarak sömürülen CVE-2023-24880 Zero Day, 15 Şubat'ta Microsoft'a bildiren Google Tehdit Analiz Grubu (TAG) tarafından keşfedildi.
Google Tag, "Tag, Ocak 2023'ten bu yana 100.000'den fazla kötü amaçlı MSI dosyasının indirilmesini gözlemledi ve Avrupa'daki kullanıcılara% 80'in üzerinde - Magniber'in genellikle Güney Kore ve Tayvan'a odaklanan tipik hedeflemesinden önemli bir farklılık."
Magniber fidye yazılımı işlemi, en az Ekim 2017'den beri, yükleri büyüklükten yararlanma kiti (EK) kullanılarak kötüverizasyon yoluyla dağıtıldığında Cerber Fidyeware'in halefi olarak aktiftir.
Başlangıçta Güney Kore'yi hedeflemeye odaklanırken, çete şimdi dünya çapında saldırıları genişletti ve Çin, Tayvan, Malezya, Hong Kong, Singapur ve şimdi Avrupa gibi diğer ülkelere hedefleri değiştirdi.
Magniber, yılın başından beri oldukça aktif olmuştur ve kimlik fidye yazılımı platformunda analiz için yüzlerce örnek gönderilmektedir.
CVE-2023-24880, CVE-2022-44698 olarak izlenen başka bir Windows SmartScreen Güvenlik özelliğinin bir varyantıdır ve aynı zamanda, hatalı şekillendirilmiş imzalarla bağımsız JavaScript dosyaları aracılığıyla kötü amaçlı yazılımlarla hedefleri enfekte etmek için sıfır gün olarak sömürülür.
Microsoft, aylarca süren sömürü ve QBOT kötü amaçlı yazılımları ve Magniber fidye yazılımlarını bırakmak için Salı günü Aralık 2022 yamasında CVE-2022-44698 yamalı.
Egregor, Prolock ve Black Basta dahil olmak üzere diğer fidye yazılımı operasyonlarının da kurumsal ağlara erişmek için QBOT ile ortaklık kurduğu bilinmektedir.
Google Tag'un bugün açıkladığı gibi, Microsoft, CVE-2022-44698 için kök nedenini düzeltmek yerine sadece tek bir yönünü sabitleyen dar bir yama yayınladığı için CVE-2023-24880 mümkün oldu.
Google Tag, "Bir güvenlik sorunu yamalarken, yerelleştirilmiş, güvenilir bir düzeltme ile temel temel neden sorununun potansiyel olarak daha zor bir çözümü arasında gerilim var."
"SmartScreen Güvenlik Bypass'ın arkasındaki temel neden ele alınmadığından, saldırganlar orijinal hatanın farklı bir varyantını hızlı bir şekilde tanımlayabildiler."
Microsoft yamaları Windows Sıfır Gün
Microsoft Mart 2023 Patch Salı 2 sıfır gün, 83 kusur düzeltiyor
Hoşçakal Cerber? Merhaba Magniber Fidye Yazılımı!
Hatch Bank, Goany Where Mft Hack'ten sonra veri ihlalini açıklar
Microsoft Şubat 2023 Patch Salı Düzeltmeleri 3 Sökücü Sıfır Günleri, 77 Kusur
Kaynak: Bleeping Computer