Microsoft, siber suçluların güncelliğini yitirmiş web tarayıcısı Internet Explorer'ı kullanarak bilgisayara kötü amaçlı yazılım enjekte etmelerine olanak tanıyan Windows'taki kritik bir güvenlik açığı konusunda uyarıyor.
Microsoft, Windows'ta bir güvenlik açığı keşfetti. CVE-2024-38112 kodu altında listelenen bu güvenlik açığı, bir saldırganın kötü amaçlı komut dosyalarını dağıtmak işletim sisteminin tüm güvenlik mekanizmalarını atlatarak bir bilgisayarda. Check Point Research keşfin arkasında.
Somut olarak, saldırı şu temele dayanıyor: Windows İnternet Kısayol DosyalarıWindows işletim sisteminin web adreslerine kısayollar oluşturmak için kullandığı dosyalar. Bu dosyalar PDF'ler gibi rastgele belgelermiş gibi görünür. Tıklandığında, aldatıcı dosya URL'yi web tarayıcısında açacaktır.
Saldırgan, kusuru istismar ederek şunları yapabilir: dosyayı internet explorer'ı açmaya zorla Chrome, Brave veya Firefox gibi başka bir web tarayıcısı yerine. Eski olduğu düşünülen tarayıcı, kötü amaçlı yazılımların indirilmesini önlemek için daha az güvenlik önlemine sahiptir. Site daha sonra HTML uygulamalarını başlatmak için kullanılan yürütülebilir bir dosya olan HTA (HTML Uygulaması) dosyasını indirecek ve açacaktır.
Internet Explorer bir HTA dosyasını indirdiğinde, ekranda iki seçenek görüntüler: dosyayı kaydet veya aç. Kullanıcı açmayı seçerse, dosya başlatılır. Yine de bir uyarı, tarayıcının bir web sitesinden içerik açtığını belirtir. Basit ve zararsız bir PDF açtığına ikna olan İnternet kullanıcısı, HTA dosyasını başlatmayı kabul eder. Kötü amaçlı kodun yürütülmesine yol açacak olan, PDF olarak gizlenmiş bu dosyadır. Bilgisayar korsanları, “Kurbanın aslında tehlikeli bir .hta uygulamasını indirip çalıştırdığı halde, bir PDF dosyasını açtığına inanmasını sağlamak için IE tarafından kullanılan bir hile”.
Aslında, saldırı Internet Explorer'ın Windows 10 ve Windows 11 kodunda hala varsayılan olarak mevcut olması gerçeğine dayanmaktadır. Hatırlatmak gerekirse, tarayıcı yavaş yavaş Microsoft Edge ile değiştirildi, ancak açığı kullanarak onu çağırmanın mümkün olduğu ortaya çıktı. Check Point'in açıkladığı gibi, Internet Explorer “modası geçmiş bir web tarayıcısı”zayıf güvenliğiyle bilinen bir sitedir. Varsayılan olarak, kullanıcılar bu siteyle bir bağlantı açamazlar. Araştırmacılar tarafından ulaşılan Microsoft, “Teknik olarak konuşursak, IE hala Windows işletim sisteminin bir parçasıdır”devre dışı bırakılmış ve emekliye ayrılmış olmasına rağmen.
18 aydan uzun süredir istismar edilen bir kusur
Microsoft'un itirafına göre, ihlal siber suçlular tarafından 18 aydan uzun süredir aktif olarak istismar ediliyor. Check Point Research'ün gösterdiği gibi, ihlalin istismar edildiğine dair ilk izler Ocak 2023'e kadar uzanıyor. Araştırmacılara göre, güvenlik açığı veri hırsızlığını düzenlemek için tasarlanmış bir kötü amaçlı yazılım olan Atlantida Stealer'ı yaymak için kullanıldı. Tarayıcıda depolanan tüm kimlik bilgilerini, çerezleri, geçmişi, kripto cüzdan anahtarlarını veya Steam Kimliklerini çalmak için tasarlanmıştır.
Kullanıcılarını korumak için Microsoft bu kusuru düzeltti. Amerikan yayıncı aslında bir yama ekledi Temmuz 2024 Salı YamasıGüncelleme, geliştiriciler tarafından bilinmeyen ancak hackerlar tarafından istismar edilen sıfır gün olarak kabul edilen 4 ihlal de dahil olmak üzere toplam 142 güvenlik açığını gideriyor. Yamayı gecikmeden yüklemenizi kesinlikle öneririz.
Kontrol Noktası
Microsoft, Windows'ta bir güvenlik açığı keşfetti. CVE-2024-38112 kodu altında listelenen bu güvenlik açığı, bir saldırganın kötü amaçlı komut dosyalarını dağıtmak işletim sisteminin tüm güvenlik mekanizmalarını atlatarak bir bilgisayarda. Check Point Research keşfin arkasında.
Kusur Windows'un Internet Explorer'ı açmasına neden oluyor
Somut olarak, saldırı şu temele dayanıyor: Windows İnternet Kısayol DosyalarıWindows işletim sisteminin web adreslerine kısayollar oluşturmak için kullandığı dosyalar. Bu dosyalar PDF'ler gibi rastgele belgelermiş gibi görünür. Tıklandığında, aldatıcı dosya URL'yi web tarayıcısında açacaktır.
Saldırgan, kusuru istismar ederek şunları yapabilir: dosyayı internet explorer'ı açmaya zorla Chrome, Brave veya Firefox gibi başka bir web tarayıcısı yerine. Eski olduğu düşünülen tarayıcı, kötü amaçlı yazılımların indirilmesini önlemek için daha az güvenlik önlemine sahiptir. Site daha sonra HTML uygulamalarını başlatmak için kullanılan yürütülebilir bir dosya olan HTA (HTML Uygulaması) dosyasını indirecek ve açacaktır.
Internet Explorer bir HTA dosyasını indirdiğinde, ekranda iki seçenek görüntüler: dosyayı kaydet veya aç. Kullanıcı açmayı seçerse, dosya başlatılır. Yine de bir uyarı, tarayıcının bir web sitesinden içerik açtığını belirtir. Basit ve zararsız bir PDF açtığına ikna olan İnternet kullanıcısı, HTA dosyasını başlatmayı kabul eder. Kötü amaçlı kodun yürütülmesine yol açacak olan, PDF olarak gizlenmiş bu dosyadır. Bilgisayar korsanları, “Kurbanın aslında tehlikeli bir .hta uygulamasını indirip çalıştırdığı halde, bir PDF dosyasını açtığına inanmasını sağlamak için IE tarafından kullanılan bir hile”.
Aslında, saldırı Internet Explorer'ın Windows 10 ve Windows 11 kodunda hala varsayılan olarak mevcut olması gerçeğine dayanmaktadır. Hatırlatmak gerekirse, tarayıcı yavaş yavaş Microsoft Edge ile değiştirildi, ancak açığı kullanarak onu çağırmanın mümkün olduğu ortaya çıktı. Check Point'in açıkladığı gibi, Internet Explorer “modası geçmiş bir web tarayıcısı”zayıf güvenliğiyle bilinen bir sitedir. Varsayılan olarak, kullanıcılar bu siteyle bir bağlantı açamazlar. Araştırmacılar tarafından ulaşılan Microsoft, “Teknik olarak konuşursak, IE hala Windows işletim sisteminin bir parçasıdır”devre dışı bırakılmış ve emekliye ayrılmış olmasına rağmen.
18 aydan uzun süredir istismar edilen bir kusur
Microsoft'un itirafına göre, ihlal siber suçlular tarafından 18 aydan uzun süredir aktif olarak istismar ediliyor. Check Point Research'ün gösterdiği gibi, ihlalin istismar edildiğine dair ilk izler Ocak 2023'e kadar uzanıyor. Araştırmacılara göre, güvenlik açığı veri hırsızlığını düzenlemek için tasarlanmış bir kötü amaçlı yazılım olan Atlantida Stealer'ı yaymak için kullanıldı. Tarayıcıda depolanan tüm kimlik bilgilerini, çerezleri, geçmişi, kripto cüzdan anahtarlarını veya Steam Kimliklerini çalmak için tasarlanmıştır.
Kullanıcılarını korumak için Microsoft bu kusuru düzeltti. Amerikan yayıncı aslında bir yama ekledi Temmuz 2024 Salı YamasıGüncelleme, geliştiriciler tarafından bilinmeyen ancak hackerlar tarafından istismar edilen sıfır gün olarak kabul edilen 4 ihlal de dahil olmak üzere toplam 142 güvenlik açığını gideriyor. Yamayı gecikmeden yüklemenizi kesinlikle öneririz.
Kaynak :01net'ten hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.
Kontrol Noktası