Microsoft, tehdit aktörleri tarafından Windows SmartScreen Güvenlik özelliğini atlatmak ve Magniber Fidye yazılımı ve QBOT kötü amaçlı yazılım yükleri sunmak için kullanılan bir güvenlik açığını düzeltti.
Saldırganlar, CVE-2022-44698 sıfır gününden yararlanmak için kötü amaçlı bağımsız JavaScript dosyaları kullandılar.
Redmond, "Bir saldırgan, Web (MOTW) savunmalarının işaretinden kaçacak kötü niyetli bir dosya oluşturabilir, bu da Microsoft Office'te Motw etiketlemesine dayanan korumalı görünüm gibi güvenlik özelliklerinin sınırlı bir şekilde kaybı ve mevcut güvenlik özelliklerinin kullanılabilirliği ile sonuçlanabilir." Salı.
Microsoft'a göre, bu güvenlik kusuru yalnızca üç saldırı vektörü kullanılarak kullanılabilir:
Bununla birlikte, tüm bu senaryolarda, tehdit aktörleri hedeflerini kötü amaçlı dosyalar açmaya veya CVE-2022-44698 istismarlarıyla saldırgan kontrollü web sitelerine erişmek için kandırmak zorunda kalacaklardı.
Microsoft, şirketin BleepingComputer'a söylediği gibi, Ekim ayı sonundan bu yana aktif olarak sömürülen sıfır gün kırılganlığı için bir düzeltme üzerinde çalıştıktan sonra Salı günü Aralık 2022 yaması boyunca bu sıfır gününü ele almak için güvenlik güncellemeleri yayınladı.
HP'nin tehdit istihbarat ekibi ilk olarak Ekim ayında kimlik avı saldırılarının Magniber fidye yazılımı, Analycence kıdemli bir güvenlik açığı analisti Will Dorman tarafından keşfedildiği gibi hatalı bir şekilde imzalanan Standalone.js JavaScript dosyalarını kullanarak dağıttığını bildirdi.
Bu, SmartCheck'in bir MOTW bayrağı ile etiketlenmesine rağmen, herhangi bir güvenlik uyarısı atmadan ve Magniber fidye yazılımlarını yüklemeden kötü amaçlı dosyaların yürütülmesine izin verecektir.
Geçen ay, aynı Windows sıfır gün güvenlik açığı, MOTW güvenlik uyarıları göstermeden QBOT kötü amaçlı yazılımlarını bırakmak için kimlik avı saldırılarında istismar edildi.
Güvenlik araştırmacısı ProxyLife'ın bulduğu gibi, bu son QBOT kimlik avı kampanyasının arkasındaki tehdit aktörleri, Magniber Ransomware saldırılarında kullanılan aynı hatalı formlu anahtarla imzalanmış JS dosyalarını dağıtarak Web Sıfır Gününün Windows işaretine geçti.
QBOT (aka Qakbot), sonraki kimlik avı saldırılarında kullanılmak üzere e -postaları çalacak veya Brute Ratel, Cobalt Strike ve diğer kötü amaçlı yazılımlar gibi ek yükler sunacak bir kötü amaçlı yazılım damlasına dönüşen bir Windows bankacılık truva atıdır.
Egregor, Prolock ve Black Basta fidye yazılımı operasyonlarının, kurbanların kurumsal ağlarına erişmek için QBOT ile ortaklık kurduğu bilinmektedir.
Salı günü Aralık 2022 yaması boyunca Microsoft, saldırganların eşleştirilmemiş Windows 11 sistemlerinde sistem ayrıcalıkları kazanmasına izin verecek halka açık bir sıfır gün (CVE-2022-44710) düzeltildi.
Windows Sıralı Sıfır Gün JavaScript Dosyaları Güvenlik Uyarılarını Bahsetin
Microsoft: Kasım güncellemeleri ODBC veritabanı bağlantılarını kırmak
Yeni saldırılar, kötü amaçlı yazılımları bırakmak için Windows Security Bypass Sıfır Gününü kullanıyor
Kasım güncellemelerinden sonra Windows Kerberos Kimlik Doğrulaması Breaks
Microsoft, Windows DirectAccess bağlantı sorunlarını düzeltir
Kaynak: Bleeping Computer