Microsoft, Ransomware Affiliates de dahil olmak üzere çoklu tehdit aktörlerinin, yakın zamanda yamalı Windows MSHTML uzaktan kod yürütme güvenliği kusurunu hedef alıyor.
Bu güvenlik açığının vahşi sömürüsünde (CVE-2021-40444 olarak izlenir), 18 Ağustos'ta şirkete göre, Microsoft'un iki haftadan fazla, kısmi bir geçici çözümle bir güvenlik danışmanlığı yayınladı.
Telemetri verilerine göre, Microsoft 365 Defender Tehdit İstihbarat Ekibi'ndeki güvenlik analistleri ve Microsoft Threat Intelligence Center (MSTIC) tarafından analiz edilen, az sayıda ilk saldırı (10'dan az) kötü niyetli hazırlanmış ofis belgeleri kullandı.
Bu saldırılar, CVE-2021-40444 böceklerini ", özel kobalt vuruşla ilgili yükleyicileri dağıtan ilk erişim kampanyasının bir parçası olarak hedef aldı."
En az bir kurbanın ağına konuşlandırılan fenerler, insan ameliyatlı fidye yazılımı da dahil olmak üzere çeşitli siber suç kampanyalarıyla bağlantılı kötü amaçlı altyapı ile iletilir.
Ağustos CVE-2021-40444 saldırılarında kullanılan kobalt grev altyapısından bazıları, geçmişte Bazaloader ve Trickbot yükü yükler - ANC1878 AKA Sihirbazı Örümcek Olarak Mandiant tarafından izlenen dev-0193 aktivite kümesi ile ilişkili olan faaliyetler / Ryuk Riskiq'a göre.
Teslim edilen yükler ayrıca dev-0365 ile örtüşen, muhtemelen diğer gruplar için kobalt strike komut ve kontrol (C2) hizmeti (CS-C2AAS) olarak kullanılan altyapı ile ilişkili bir aktivite kümesi.
Microsoft ayrıca, CVE-2021-40444 danışmanının yayınlandıktan sonra 24 saat içinde sömürü girişimlerinde büyük bir artış gözlemledi.
Araştırmacılar ekledikleri araştırmacılar ekledi.
"Microsoft, durumu izlemeye devam ediyor ve gerçek sömürüden denetleme testi yapmaya devam ediyor."
MSTIC Tehdit İstihbarat Analisti Justin Warner, diğer tehdit gruplarının ve aktörlerin, önümüzdeki günlerde ve haftalarda cephaneliklerine CVE-2021-40444'ü istifa etmeye devam edeceğini ekledi.
Microsoft, gelen saldırıları engellemek için Salı günü Eylül 2021 yaması sırasında yayınlanan CVE-2021-40444 güvenlik güncellemelerini derhal uygulamaktadır.
CVE-2021-40444, Windows Server 2008'den 2019 ve Windows 8.1 veya daha sonra çalışan sistemleri etkiler ve maksimum 10'dan 8.8 olan bir ciddiyet seviyesine sahiptir.
Microsoft tarafından yayınlanan güvenlik güncellemeleri, etkilenen tüm Windows sürümlerinin kırılganlığını ele alır ve aylık bir toplama, yalnızca bir güvenlik güncelleştirmesi ve bir Internet Explorer kümülatif güncellemesi ekleyin.
BleepingComputer, 19 Eylül 2021 güvenlik düzeltme eklerini uyguladıktan sonra bilinen CVE-2021-40444'ü artık işe yaramadığını iddia etti.
Saldırı yüzeyini azaltmak için, güvenlik güncelleştirmelerini uygulayamayan müşteriler Microsoft'un geçici çözümlerini uygulamalıdır (ActiveX denetimlerini Grup İlkesi ve Windows Gezgini'nde önizleme ile devre dışı bırakma) uygulamalıdır.
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Microsoft, Windows CVE-2021-40444 MSTML sıfır gün böcek düzeltmesi
Forumları Hacking'te Paylaşılan Windows MSHTML Sıfır-Gün Kullanımı
Microsoft, Kalan Windows PrintNightMare güvenlik açıklarını düzeltir
Microsoft Eylül 2021 yama Salı 2 Sıfır-gün, 60 kusurları düzeltti
Kaynak: Bleeping Computer