Microsoft, Kuzey Koreli bilgisayar korsanları tarafından istismar edilen Windows güvenlik açığını kapatıyor

Microsoft, en son Salı Yaması toplu güncellemesinin bir parçası olarak, WinSock için Windows Yardımcı İşlev Sürücüsündeki (AFD.sys) bir ayrıcalık yükseltme hatasını düzeltti. Bu hata CVE-2024-38193 olarak izlenmekte ve 7.8 önem derecesi puanı taşımaktadır.

Bu açığın kötüye kullanılması saldırganlara savunmasız uç nokta üzerinde yönetici ayrıcalıkları sağlamaktadır ve Microsoft “bu açığı başarılı bir şekilde kullanan bir saldırgan SİSTEM ayrıcalıkları elde edebilir” diye belirtmiştir.

Bununla birlikte, yama biraz geç gelmiş olabilir, çünkü bazı araştırmacılar sıfırıncı gün olmasına rağmen bilgisayar korsanlarının hatayı zaten kötüye kullandığını söyledi. Aslında, Gen Digital (Norton, Avira, Avast ve diğerlerinin sahipleri) araştırmacıları, kötü şöhretli Kuzey Kore devlet destekli kuruluş olan Lazarus Group’un FudModule adlı bir kötü amaçlı yazılım rootkit’ini bırakmak için kullandığını iddia ediyor.

Lazarus yeniden saldırıyor

Gen Digital bir raporunda, “Bu açık, hassas sistem alanlarına yetkisiz erişim elde etmelerini sağladı” dedi. “Güvenlik açığı, saldırganların normal güvenlik kısıtlamalarını atlamasına ve çoğu kullanıcının ve yöneticinin erişemediği hassas sistem alanlarına erişmesine olanak sağladı.”

“Bu tür bir saldırı hem sofistike hem de beceriklidir ve potansiyel olarak karaborsada birkaç yüz bin dolara mal olur. Bu durum endişe vericidir çünkü işverenlerinin ağlarına erişim sağlamak ve saldırganların operasyonlarını finanse etmek için kripto para birimleri çalmak üzere kripto para mühendisliği veya havacılık alanında çalışanlar gibi hassas alanlarda çalışan bireyleri hedef almaktadır.”

Lazarus, yakın tarihin en yıkıcı siber saldırılarından bazılarından sorumlu olan bilinen bir tehdit aktörüdür. En çok sahte LinkedIn profilleri oluşturduğu (ya da bilinen kişileri taklit ettiği) ve ardından yazılım geliştiricilere harika maaşlarla harika iş teklifleriyle yaklaştığı sahte iş kampanyalarıyla ünlüdür.

Bir blok zinciri geliştiricisine karşı gerçekleştirilen böyle bir saldırı, bir kripto para birimi projesinden yaklaşık 600 milyon doların çalınmasıyla sonuçlandı. Bazı araştırmacılar Kuzey Kore’nin bu parayı silah programının yanı sıra devlet aygıtını finanse etmek için kullandığını iddia ediyor.