CVE-2018-8589: Yeni bir gün, yeni bir işletim sistemi güvenlik açığı

Kasım 19, 2018

Bir ay önce Microsoft Windows’taki bir güvenlik açığının kötüye kullanıldığını bulduğumuzu yazmıştık. Bu size tanıdık gelebilir, ama proaktif teknolojilerimiz bir sıfır gün kötüye kulanımı daha tespit etti. Bu kötüye kullanım, yine işletim sisteminin daha önceden bilinmeyen bir güvenlik açığını hedef alıyordu. Bu sefer yalnızca Windows 7 ve Windows Server 2008 risk altında.

Ne var ki bu kısıtlama, tehdidi daha az tehlikeli hale getirmiyor. Microsoft, Ocak 2015’te Windows Server 2008’e verdiği ana akım desteği sonlandırmış ve Windows 10 piyasaya sürülürken bedava güncelleme sunmuş olsa da, herkes bu güncellemeyi yapmadı. Hala desteği sürdürmek için yeterli sayıda müşterileri olduğu için geliştiriciler her iki sistem için de güvenlik güncellemeleri ve destek sunmaya devam ediyor (14 Ocak 2020’ye kadar da devam etmeleri gerekiyor.)

Uzmanlarımız Ekim sonunda kötüye kullanımı tespit eder etmez güvenlik açığını kanıtlarıyla birlikte Microsoft’a bildirdi. Geliştiriciler 13 Kasım’da derhal güvenlik açığını kapadılar.

Bu güvenlik açığı ve doğurduğu kötüye kullanıma dair bilmeniz gerekenler

Bu, win32k.sys sürücüsünde sıfır gün ayrıcalık yükseltme ile ilgili bir güvenlik açığı. Bu güvenlik açığını kullanan suçlular, mağdurun sisteminde kalıcılık sağlamak için gerekli ayrıcalıkları kazanabiliyor.

Bu kötüye kullanım, başta Orta Doğu bölgesinde olmak üzere birçok APT saldırısında kullanıldı. Yalnızca Windows 7’nin 32 bit sürümlerini hedef alıyordu. Teknik verileri bu Securelist gönderisinde bulabilirsiniz. Tehdit istihbarat raporlarımıza abone olan kullanıcılar, intelreports@kaspersky.com adresinden bizimle iletişim kurarak da saldırı hakkında daha fazla bilgi edinebilir.

Güvenliğinizi nasıl sağlayabilirsiniz?

Bu açıdan yeni bir şey yok; güvenlik açıklarına karşı her zamanki tavsiyelerimize kulak vermeye devam edin:

  • Vakit kaybetmeden Microsoft’un düzeltme ekini yükleyin.
  • Şirketinizin kullandığı tüm yazılımları düzenli olarak en son sürümlerine güncelleyin.
  • Güncel olmayan yazılımları, verilen destek sona ermeden önce kullanmayı bırakın.
  • Güncelleme süreçlerini otomatik hale getirmek için güvenlik açığı değerlendirme ve düzeltme eki yönetimi özelliklerine sahip güvenlik ürünlerini kullanın.
  • Sıfır gün açıklarından yararlanan yazılımlar dahil olmak üzere bilinmeyen tehditlere karşı etkili koruma için davranış tabanlı tespit özelliklerine sahip dayanıklı güvenlik çözümlerini kullanın.

Önceden bilinmeyen bu tehdidi tespit ettikleri için proaktif teknolojilerimizin hakkını vermek gerektiğini de ekleyelim. Bu teknolojilerimiz, Kaspersky Anti Targeted Attack platformu için geliştirilen ileri koruma alanı ve kötü amaçlı yazılımla mücadele motoru (özel olarak APT tehditlerine karşı korumak için üretilmiş bir çözüm) ve işletmeler için Kaspersky Endpoint Security’nin bütünleyici alt sistemini oluşturan otomatik kötüye kullanım önleme teknolojisiydi.