exploit

Yeni Bir Exploit, Yakın Zamanda Yamalı MSHTML Kusurunu Atlayabilir

Uzmanlar, bir RCE kusuruna karşı geliştirilen yeni bir yamayı atlayan bir istismar (exploit) kullanan bir kimlik avı kampanyasını ortaya çıkardı. 

Bu istismar, saldırganların Formbook kötü amaçlı yazılımları sunmasına olanak tanır .

Ne oldu?

Araştırmacılar yetenekli saldırganlar atlayarak CVE-2021-40444 MSHTML'de bileşenlerini etkilemektedir kusuru. 
  • Sophos Labs tarafından tespit edilen en son kampanya, yeni bir Office açıklarından yararlanarak yamanın korumasını atlıyor.
  • Saldırganlar, Formbook kötü amaçlı yazılımını teslim etmek için onu silahlandırıyor.
  • Araştırmacılar bu yeni saldırının mümkün olduğuna inanıyor çünkü yama çok dar odaklıydı, ilk sorunu tamamen çözmedi.

Modus Operandi

Son saldırıda, saldırganlar maldoc'u özel hazırlanmış bir RAR arşivinde gönderir.
  • Değiştirilmiş istismar (CAB'siz 40444), 24 ve 25 Ekim arasında 36 saat sürdü ve bu sırada kurbanlara hatalı biçimlendirilmiş RAR arşiv dosyalarıyla dolu spam e-postalar gönderildi.
  • RAR dosyası, bir Word Belgesi ile birlikte Windows Komut Dosyası Ana Bilgisayarında yazılmış bir komut dosyasıyla yüklenir. 
  • Açıldığında, kötü amaçlı JavaScript kodu barındıran uzak bir sunucuyla iletişim kurar.
  • JavaScript kodu, WSH komut dosyasını başlatmak için Word Belgesini kullanır ve bir saldırganın web sitesinden Formbook kötü amaçlı yazılım yükünü almak için RAR dosyasında PowerShell komutunu çalıştırır.

Son saldırılar

Microsoft, güvenlik sorununu Eylül 2021 Salı Yaması güncellemelerinin bir parçası olarak düzeltmiş olsa da, kusurla ilgili ayrıntılar kamuoyuna açıklandığından beri kusur hala çok sayıda saldırıda kullanılıyor.
  • Aynı ay Microsoft, Office belgelerini kullanarak hedeflenen Windows sistemlerine Cobalt Strike Beacons dağıtmak için güvenlik açığını kötüye kullanan hedefli bir kimlik avı kampanyası keşfetti .
  • SafeBreach Labs, Kasım ayında Farsça konuşan kurbanları hedef alan İranlı tehdit aktörü operasyonu hakkında ayrıntılı bilgi verdi. Bilgi toplayan yeni bir PowerShell tabanlı bilgi hırsızı kullanıyordu.

Çözüm

Güvenlik yamaları bilinen güvenlik boşluklarını kapatmaya yardımcı olsa da, bu istisnai durumlardan biridir. Kuruluşların, çalışanlarını düzenli olarak eğitmeleri ve onlara kimlik avı e-postalarını tanımlamayı öğretmeleri önerilir. İnsanlar, bir arşiv veya bilinmeyen biçimlerde gelen e-posta belgelerinden şüphelenmelidir.

Kaynak: https://cyware.com/news/a-new-exploit-can-bypass-recently-patched-mshtml-flaw-6504e101


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

Yeni Bir Exploit, Yakın Zamanda Yamalı MSHTML Kusurunu Atlayabilir