Bu keşif, Nisan 2024'ün başlarında Windows DWM Çekirdek Kitaplığı Ayrıcalık Artışı güvenlik açığının (CVE-2023-36033) analizi sırasında yapıldı. Microsoft, 14 Mayıs 2024'teki Mayıs Salı yaması kapsamında bu güvenlik açığını gidermek için bir yama yayımladı.1 Nisan 2024'te VirusTotal'a yüklenen bir belge Kaspersky araştırmacılarının dikkatini çekti. Açıklayıcı bir dosya adına sahip olan belge, Windows işletim sistemindeki olası bir güvenlik açığına işaret ediyordu. Yanlış İngilizceye ve güvenlik açığının tetiklenmesiyle ilgili eksik ayrıntılara rağmen belgede, güvenlik açıkları farklı olmasına rağmen CVE-2023-36033 için sıfır gün istismarına benzer bir istismar süreci anlatılıyor. Güvenlik açığının uydurma veya yararlanılamaz olduğundan şüphelenen ekip, araştırmasına devam etti. Hızlı bir kontrol, bunun sistem ayrıcalıklarını artırabilecek gerçek bir sıfır gün güvenlik açığı olduğunu ortaya çıkardı. Kaspersky bulguları derhal Microsoft'a bildirdi; Microsoft, güvenlik açığını doğruladı ve onu CVE-2024-30051 olarak atadı. Raporun ardından Kaspersky, bu sıfır gün güvenlik açığından yararlanan açıkları ve saldırıları izlemeye başladı. Nisan ortasında ekip, CVE-2024-30051'e yönelik bir açıktan yararlanmanın tespit edildiğini ve QakBot ve diğer kötü amaçlı yazılımlarla birlikte kullanıldığını gözlemledi. Bu, birden fazla tehdit aktörünün bu istismara erişimi olduğunu gösterir.Boris Larin, Kaspersky GReAT'in baş güvenlik araştırmacısı. 'VirusTotal'da bulduğumuz belge açıklayıcı olması nedeniyle dikkatimizi çekti ve daha fazla araştırmaya karar verdik. Bu, bu kritik sıfır gün güvenlik açığını keşfetmemize yol açtı. “Tehdit aktörlerinin bu istismarı hızla cephaneliklerine entegre etmesi, siber güvenlik konusunda zamanında güncelleme ve dikkatli olmanın önemini vurguluyor.”Kaspersky, çoğu kullanıcının Windows sistemlerini güncellemesine yetecek kadar zaman geçtikten sonra CVE-2024-30051 hakkındaki teknik ayrıntıları yayınlamayı planlıyor. Kaspersky, yamaların hızlı analizi ve yayınlanması için Microsoft'a teşekkür eder. Kaspersky ürünleri, CVE-2024-30051 ve ilgili kötü amaçlı yazılımların kötüye kullanımını tespit etmek için aşağıdaki çözünürlüklerle güncellendi:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
Kaspersky, gelişmiş bir bankacılık Truva Atı olan QakBot'u 2007 yılında keşfedildiğinden beri izliyor. Başlangıçta bankacılık kimlik bilgilerini çalmak için tasarlanan QakBot, önemli ölçüde gelişerek e-posta hırsızlığı, tuş kaydı yapma ve fidye yazılımını kendi kendine yayma ve yükleme yeteneği gibi yeni özellikler kazandı. Kötü amaçlı yazılım, sık sık yaptığı güncellemeler ve iyileştirmelerle tanınıyor ve bu da onu siber güvenlik alanında kalıcı bir tehdit haline getiriyor. Son yıllarda QakBot'un dağıtım için Emotet gibi diğer botnet'leri kullandığı gözlemlendi. Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–