Kaspersky’den yapılan açıklamaya nazaran, şirket, Google Chrome web tarayıcısında CVE-2019-13720 olarak numaralandırdığı açığı Google’a bildirerek açığa karşı bir yama yayımladı. Kanıtlanan kavramların incelenmesi sonucu, Google bunun bir “sıfır-gün” açığı olduğunu doğruladı.
Daha evvelden bilinmeyen ve saldırganların beklenmedik ve önemli hasarlar vermesine neden olabilen yazılım yanlışları “sıfır-gün” açığı olarak isimlendiriliyor. Hücumlarda kullanılan yeni açık, Korece bir haber portalında tuzak bulaştırma tarzından yararlanıyor.
Ana sayfaya yerleştirilen berbat maksatlı JavaScript kodu, uzak bir siteye profil çıkarma betiği yükleyerek tarayıcının kullanıcı oturum açma bilgilerinin çeşitli versiyonlarını inceleyip kurbanın sistemine bulaşmanın mümkün olup olmayacağını denetim ediyor.
KASPERSKY UZMANLARINDAN OPERASYON
Google Chrome web tarayıcısı aracılığıyla kusurdan yararlanmaya çalışan açıkla yüklenen betik, kullanılan tarayıcı sürümünün 65 yahut daha yeni bir sürüm olup olmadığını belirliyor. Açık, saldırganlara Serbest-Kaldıktan-Sonra-Kullanma (UaF) şartı sunuyor. Kod çalıştırma senaryolarına yol açabileceğinden bu UaF şartı son derece tehlikeli olarak kabul ediliyor.
Tespit edilen açık, Kaspersky uzmanları tarafından “WizardOpium” ismi verilen bir operasyonda kullanıldı. Koddaki belli benzerlikler, bu kampanya ile Lazarus taarruzları ortasında bir ilişki olabileceğine işaret ediyor.
Ayrıca, amaç alınan web sitesinin profili de evvelki DarkHotel akınlarında tespit edilen profile benziyor. DarkHotel’de kısa müddet evvel emsal yanıltma akınları gerçekleştirilmişti.
Tespit edilen açık, Kaspersky’nin birden fazla eserinde bulunan açık tedbire teknolojisi tarafından tespit edildi.
DÜZENLİ GÜNCELLEME UYARISI
Açıklamada görüşlerine yer verilen Kaspersky güvenlik uzmanı Anton Ivanov, yeni bir Google Chrome “sıfır-gün” açığının kullanımda olduğunun bulunmasının değerli olduğunu belirterek, “Bu açığın bulunması, bizi tehdit aktörlerinin ani ve bâtın hücumlarına karşı yalnızca güvenlik topluluğu ile yazılım geliştiricileri ortasındaki iş birliğinin ve açık tedbire teknolojilerine daima yatırım yapmanın koruyabileceğini bir kere daha gösterdi.” tabirlerini kullandı.
Kaspersky, kullanıcılara güvenlik tedbiri alma hedefiyle şu tavsiyelerde bulundu:
“Google’ın bu yeni açık için yayımladığı yamayı çabucak kurun. Kurumunuzda kullandığınız tüm yazılımları tertipli bir formda güncellediğinizden emin olun. Yeni bir güvenlik yaması yayımlandığında bunu çabucak kurun. Açık Kıymetlendirme ve Yama İdaresi özelliklerine sahip güvenlik tahlilleri, bu süreçleri otomatik hale getirmenize yardımcı olur. Açıklar da dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı tesirli muhafaza için davranış tabanlı tespit özellikleriyle donatılan, Kaspersky Endpoint Security for Business üzere başarısı kanıtlanmış bir güvenlik tahlilini tercih edin. Kesinlikle bulunması gereken uç nokta müdafaa tahlillerinin yanı sıra gelişmiş tehditleri birinci kademede ağ seviyesindeyken tespit eden, Kaspersky Anti Targeted Attack Platform üzere kurumsal sınıf bir güvenlik tahlili kullanın. Güvenlik grubunuzun en yeni siber tehdit istihbaratına erişmesini sağlayın.”
İSTANBUL/AA