Çalışan bilgisayar korsanları grupları, hedef bilgisayarlarda kötü amaçlı kod yürütmeyi alışılmadık derecede kolaylaştıran eski bir Windows sıfır gününün etkisini göstermeye devam ederken, Microsoft düşük bir profil tutuyor ve yama planlarının olup olmadığını söylemeyi bile reddediyor.
Geçen hafta, güvenlik firması Proofpoint söz konusu Bilinen ulus devlet gruplarıyla bağları olan bilgisayar korsanlarının, Follina adlı uzaktan kod yürütme güvenlik açığından yararlandığını söyledi. Proofpoint, saldırıların Avrupa ve yerel ABD hükümetlerindeki 10’dan az Proofpoint müşterisine gönderilen kötü niyetli spam iletilerde yapıldığını söyledi.
Microsoft ürünleri “hedef açısından zengin bir fırsattır”
Pazartesi günü bir e-postada, güvenlik şirketi daha fazla renk ekleyerek şunları yazdı:
- Proofpoint Threat Research, Follina güvenlik açığının kullanımını aktif olarak izliyor ve Cuma günü başka bir ilginç vaka tespit ettik. RTF dosya eki içeren bir e-posta, Follina’yı kullanarak bir PowerShell betiğini çalıştırdı. Bu komut dosyası sanallaştırmayı kontrol eder, yerel tarayıcılardan, posta istemcilerinden ve dosya hizmetlerinden bilgi çalar, makine yeniden yapılandırmasını yürütür ve ardından BitsAdmin aracılığıyla exfil için sıkıştırır. Proofpoint, bu kampanyanın hem Powershell’in kapsamlı keşfine hem de sıkı hedefleme konsantrasyonuna dayanan devlet uyumlu bir aktör tarafından yapıldığından şüphelense de, şu anda onu numaralı bir TA’ya atfetmiyoruz.
- Proofpoint, bu güvenlik açığının Microsoft uygulamaları aracılığıyla kullanıldığını gözlemledi. Bu güvenlik açığının kapsamını anlamaya devam ediyoruz, ancak şu anda onu Microsoft Office ürünleri paketinde ve ayrıca Windows uygulamalarında kullanmak için birçok fırsatın olduğu açıktır.
- Microsoft, “geçici çözümler” yayınladı, ancak tam ölçekli bir yama yayınlamadı. Microsoft ürünleri, tehdit aktörleri için hedef açısından zengin bir fırsat olmaya devam ediyor ve bu kısa vadede değişmeyecek. Müşterilerimize ortamlarının güvenliğini sağlamada yardımcı olmak için daha fazlasını öğrendikçe, Proofpoint ürünlerinde algılama ve korumayı kullanıma sunmaya devam ediyoruz.
Bu arada güvenlik firması Kaspersky de Follina açıklarında bir artış izledi ve en çok ABD’yi vurdu, onu Brezilya, Meksika ve Rusya izledi.
Kaspersky araştırmacıları, “Fidye yazılımı saldırıları ve veri ihlalleri de dahil olmak üzere kurumsal kaynaklara erişim elde etmek için daha fazla Follina istismar girişimi görmeyi bekliyoruz” dedi.
CERT Ukrayna ayrıca, Follina’yı istismar etmek için “accruals.docx ile ücretlerdeki değişiklikler” başlıklı bir dosya göndermek için e-posta kullanan o ülkedeki hedeflere yönelik istismarları takip ettiğini söyledi.
Follina’nın popülaritesinin sırrı: “düşük etkileşimli RCE”
Bu ilginin bir nedeni, Follina’nın tipik kötü niyetli belge saldırılarının gerektirdiği düzeyde kurban etkileşimi gerektirmemesidir. Normalde, bu saldırılar belgeyi açmak ve makroların kullanımını sağlamak için hedefe ihtiyaç duyar. Follina, aksine, hedefin belgeyi açmasını gerektirmez ve izin verilecek bir makro yoktur. Korumalı görünüm açıkken bile önizleme penceresinde görünen belgenin basit eylemi, kötü amaçlı komut dosyalarını çalıştırmak için yeterlidir.
Güvenlik firması Scythe’de siber tehdit istihbarat direktörü Jake Williams bir metin sohbetinde “Bu daha ciddi çünkü makroların devre dışı bırakılması önemli değil ve sadece önizleme yoluyla çağrılabilir” dedi. “Bu, ‘sadece teslim etmek istismara neden olur’ gibi sıfır tıklama değil, ancak kullanıcının belgeyi açmasına gerek yok.”
Metasploit hackleme çerçevesi için bir istismar modülü geliştiren araştırmacılar, bu davranışa düşük etkileşimli uzaktan kod yürütme olarak atıfta bulundu. İçlerinden biri, “Bunu hem .docx hem de rtf biçimlerini kullanarak test edebildim,” diye yazdı. “Yalnızca belgeyi Explorer’da önizleyerek RTF dosyasıyla yürütme elde edebildim.”
Beceriksiz bir yanıt
Oyuncuların ve savunucuların Follina için gösterdikleri coşku tehdidi, Microsoft’un düşük profiliyle taban tabana zıt. Microsoft, başlangıçtan itibaren güvenlik açığı üzerinde hareket etmekte yavaştı. 2020’de yayınlanan bir akademik makale, bir bilgisayarı kötü amaçlı bir komut dosyasını indirmeye ve yürütmeye zorlamak için Microsoft Destek Tanılama Aracı’nın (MSDT) nasıl kullanılacağını gösterdi.
Ardından Nisan ayında Shadow Chaser Group’tan araştırmacılar söz konusu üzerinde heyecan Microsoft’a, devam eden kötü niyetli bir spam çalışmasının tam da bunu yaptığını bildirdiklerini söylediler. Araştırmacılar kampanyada kullanılan dosyayı dahil etseler de Microsoft, MSDT’nin yükleri yürütmek için bir parola gerektirdiğine dair hatalı mantık hakkındaki raporu reddetti.
Son olarak, geçtiğimiz Salı günü Microsoft, CVE-2022-30190 izleyicisine 10 üzerinden 7,8 önem derecesi vererek bu davranışı bir güvenlik açığı olarak ilan etti. Şirket bir yama yayınlamadı ve bunun yerine MSDT’yi devre dışı bırakmak için talimatlar yayınladı.
Microsoft o zamandan beri çok az şey söyledi. Pazartesi günü, şirket planlarının ne olduğunu söylemeyi reddetti.
Williams, “Daha küçük güvenlik ekipleri, büyük ölçüde Microsoft’un kayıtsız yaklaşımını, bunun “sadece başka bir güvenlik açığı” olduğunun bir işareti olarak görüyor – ki kesinlikle değil” dedi. “Microsoft’un aktif olarak istismar edilen bu güvenlik açığını neden küçümsemeye devam ettiği açık değil. vahşi doğada Güvenlik ekiplerine kesinlikle yardımcı olmuyor.”
Microsoft’un proaktif uyarılar sağlaması olmadan, kuruluşların riskler ve bu güvenlik açığına ne kadar maruz kaldıkları konusunda rehberlik için yalnızca kendilerine güvenmeleri gerekir. Ve başarılı istismarlar için düşük çıta göz önüne alındığında, şimdi bunu gerçekleştirmek için iyi bir zaman olacaktır.