Çekirdek İşlem Yöneticisi’nde güvenlik açığı tespit edildi

Siber suçlular, Windows’u stres testine tabi tutmaya devam ederken koruyucu teknolojilerimiz de saldırganların girişimlerini tespit edip açıklardan yararlanmalarını önlüyor. Bu, geçtiğimiz üç ay içinde keşfettiğimiz ilk ya da ikinci saldırı değil.

Siber suçlular, Windows’u stres testine tabi tutmaya devam ederken koruyucu teknolojilerimiz de saldırganların girişimlerini tespit edip açıklardan yararlanmalarını önlüyor. Bu, geçtiğimiz üç ay içinde keşfettiğimiz ilk ya da ikinci saldırı değil. Sistemlerimiz, bu sefer Windows Çekirdek İşlem Yöneticisi’nde bulunan bir güvenlik açığından yararlanma girişimini tespit etti.

Bu yeni sıfır gün açığından yararlanan yazılım, Orta Doğu ve Asya’daki birçok kişiye karşı kullanıldı. Yazılımın tarafından kullanılan CVE-2018-8611 adındaki güvenlik açığı, Windows çekirdeğinin bellekteki nesneleri uygun bir şekilde işleyemediği durumlarda ayrıcalığın yükseltilmesine izin veriyor. Bunun sonucunda kötü amaçlı saldırganlar, çekirdek modunda rastgele kodlar yürütebiliyor.

Yani bu durum, pratikte saldırganların program yükleyebilmesi, verileri değiştirebilmesi veya görüntüleyebilmesi hatta yeni hesaplar oluşturabilmesi anlamına geliyor. Uzmanlarımıza göre açıklardan yararlanan yazılım, Chrome ve Edge gibi modern Web tarayıcılarında korumalı alandan çıkmak için de kullanılabilir. Teknik ayrıntılar için bu Securelist makalesini inceleyebilirsiniz. CVE-2018-8611 ve bu açıktan yararlanmaya çalışan aktörlerle ilgili daha ayrıntılı bilgiler, Kaspersky Intelligence Reports müşterilerine sunulur, bunun için intelreports@kaspersky.com ile iletişime geçebilirsiniz.

Uzmanlarımız, bu güvenlik açığını geliştiricilere bildirdi ve Microsoft, Windows çekirdeğinin bellekteki nesneleri işleme şeklini düzelten ilgili düzeltme ekini yayınladı.

Güvenliğinizi nasıl sağlayabilirsiniz?

Bu vakada da yine tüm güvenlik açıklarına yönelik genel tavsiyemizi verebiliriz:

  • Şu anda açıklardan yararlanan bu yazılımın az sayıda kurbanı olduğu için kendinizi güvende hissetmeyin. Güvenlik açığının ortaya çıkarılmasından itibaren daha çok siber suçlu, bu açıktan faydalanmaya çalışabilir. Dolayısıyla düzeltme ekini derhal yükleyin.
  • Şirketinizin kullandığı tüm yazılımları düzenli olarak güncelleyin.
  • Otomatik güvenlik açığı değerlendirme ve düzeltme eki yönetimi özelliklerine sahip güvenlik ürünlerini tercih edin.
  • Sıfır gün açıklarından yararlanan yazılımlar dahil olmak üzere bilinmeyen tehditlere karşı etkili koruma için davranış tabanlı tespit özelliklerine sahip güvenlik çözümlerini kullanın.

Koruyucu teknolojilerimiz, açıklardan yararlanan bu yazılımla karşılaşmadan önce söz konusu güvenlik açığının bilinmediğini tekrar hatırlatmakta fayda var. Dolayısıyla güvenliğinizi sağlayabilecek bazı ürünler önerebiliriz. İlk önerimiz, APT tehditlerine karşı koruma sağlamak için özel olarak tasarlanan çözümümüz Kaspersky Anti Targeted Attack Platform’dur. Bu çözüm, gelişmiş korumalı alan teknolojisine ve kötü amaçlı yazılımlara karşı koruma motoruna sahiptir. İkinci önerimiz ise güvenlik açıklarından yararlanan yazılımları otomatik olarak önleme teknolojisine sahip olan Kaspersky Endpoint Security for Business çözümüdür. CVE-2018-8611 güvenlik açığını tespit eden de bu teknolojidir.

Şirket İçinden Gelen DarkVishnya saldırıları

Normal şartlar altında bir siber olayı araştırırken öncelikle virüsün kaynağına bakarız. Kaynağı bulmak zor değildir. Kötü amaçlı bir ek veya bağlantı içeren bir e-posta ya da ele geçirilmiş bir sunucu olup olmadığını araştırırız. Genellikle güvenlik uzmanlarında bir ekipman listesi bulunur, yapmanız gereken tek şey kötü amaçlı etkinliği hangi makinenin başlattığını bulmaktır. Peki ya tüm bilgisayarlar temiz olmasına rağmen kötü amaçlı etkinlik devam ediyorsa…

İpuçları