CVE-2024-21338 olarak bilinen Windows güvenlik açığı, birinci olarak yaklaşık altı ay evvel Avast siber güvenlik araştırmacıları tarafından keşfedildi. Windows Kernel ayrıcalık yükseltmeye yarayan bu açık, appid.sys Windows AppLocker şoföründe bulundu. Birden fazla Windows 10 ve Windows 11 işletim sistemi sürümünü etkilediği belirtildi. Açık ayrıyeten Windows Server 2019 ve 2022’de de bulundu.
Microsoft, güvenlik açığını yama ile düzeltti
Geçen yıl Avast araştırmacıları, bu açığın bir sıfır gün açığı olarak kullanıldığını belirterek Microsoft’u bilgilendirdi. O vakitten beri Kuzey Koreliler de dahil olmak üzere birtakım dünyanın en büyük ve en tehlikeli tehdit aktörleri bu açığı etkin olarak kullanıyorlar.
Kuzey Kore hükümeti ile irtibatlı olduğu bilinen bir tehdit aktörü olan Lazarus Group, bu açığı berbata kullanarak savunmasız aygıtlara çekirdek seviyesinde erişim elde etti ve antivirüs programlarını devre dışı bıraktı.
Sıfır günü kullanmak için Lazarus, birinci sefer 2022’nin sonlarında fark edilen özel bir rootkit olan FudModule’un yeni bir sürümünü kullandı. Evvelki taarruzlarda rootkit bir Dell şoförünü berbata kullanıyordu, bu da BYOVD (Bring Your Own Vulnerable Driver – Kendi Savunmasız Şoförünüzü Getirin) saldırısı olarak biliniyor.
Şu an FudModule daha gizemli ve daha fonksiyonel hale geldi. Çünkü tespit edilmeyi önlemenin daha fazla yolunu ve uç nokta müdafaa tahlillerini devre dışı bırakma seçeneklerini sunuyor.
Görünüşe nazaran küme, AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon ve HitmanPro antimalware tahlili üzere eserleri devre dışı bırakmak için bunu kullandı. Geçtiğimiz ayın sonu itibariyle bu açık için artık resmi bir yama mevcut. Microsoft, geçen hafta açığı gideren güncellemelerini yayınladı. Saldırganlarla ilgili ayrıntılar paylaşılmadı.
Microsoft, “Bu açığı kullanmak için, saldırganın öncelikle sistemde oturum açması gerekecektir. Bir saldırgan daha sonra, etkilenen bir sistem üzerinde denetim alabilecek bir açığı berbata kullanabilecek özel olarak oluşturulmuş bir uygulamayı çalıştırabilir” diye durumu açıkladı.
Siz de hasebiyle güncellemeyi Windows Update kısmını denetim edip yapmayı unutmayın. Siz ne düşünüyorsunuz? Fikirlerinizi yorumlar kısmından bizlerle paylaşmayı lütfen unutmayın.
