CVE-2019-0859: Windows’ta bir sıfır gün sistem açığı

Mart başında, proaktif güvenlik teknolojilerimiz Microsoft Windows’taki bir sistem açığını istismar etmeye yönelik bir hamle tespit etti. Bu analizde, daha önce zaten dört kez benzer sistem açıkları bulunmuş olan eski dostumuz win32k.sys’de bir sıfır gün sistem açığı ortaya çıkarıldı.

Mart başında, proaktif güvenlik teknolojilerimiz Microsoft Windows’taki bir sistem açığını istismar etmeye yönelik bir hamle tespit etti. Bu analizde, daha önce zaten dört kez benzer sistem açıkları bulunmuş olan eski dostumuz win32k.sys’de bir sıfır gün sistem açığı ortaya çıkarıldı. Bu sorunu bir geliştiriciye bildirdik ve bu sistem açığı 10 Nisan tarihinde piyasaya sürülen bir yama ile onarıldı.

Neyle uğraşıyoruz?

CVE-2019-0859 diyalog pencereleriyle, daha doğrusu bunların ilave tarzlarıyla ilgili bir sistem fonksiyonundaki bir Use-After-Free sistem açığıdır. Kullanımda olduğu tespit edilen istismar modeli Windows 7’den itibaren Windows 10’un son yapımlarına kadar OS’nin 64-bit sürümlerini hedef alıyordu. Bu sistem açığı istismar edildiğinde kötücü yazılım saldırganların yazdığı bir komut dosyasını indirerek yürütmeye başlıyor ve sonunda da iş virüs bulaşan PC’nin tamamen kontrolden çıkmasına kadar varabiliyor.

Ya da, en azından, hala tanımlanamamış olan APT grubu bunu böyle kullanmaya çalıştı. Bu açıktan yararlanarak Windows PowerShell ile oluşturulan bir gizli kapıyı kurmak için gereken imtiyazı elde ettiler. Teoride, bu durum siber suçluların kendilerini gizlemesini sağlamalıydı. Silah bu gizli kapıdan dolduruldu ve böylece de siber suçlular virüs bulaşan bilgisayarın tamamına erişim sağlayabildiler. Bu istismarın nasıl çalıştığına dair detaylar için Securelist‘e bakın.

Kendinizi nasıl koruyabilirsiniz?

Aşağıdaki korunma metotlarının tamamı daha önce birkaç kez listelendi ve bunlara özellikle eklenecek yeni bir şey yok.

  • Öncelikle, Microsoft’un güncellemesini yükleyerek sistem açığını kapatın.
  • İşletim sistemleri başta olmak üzere firmanızda kullanılan bütün yazılımlarını düzenli olarak en son sürümlerine güncelleyin.
  • Henüz bilinmeyen tehditleri bile tespit edebilen davranışsal analiz teknolojilerine sahip güvenlik çözümlerini kullanın.

CVE-2019-0859 sistem açığının istismarı başlangıçta Kaspersky Endpoint Security for Business çözümümüzün bir parçası olan Davranışsal Tespit Motoru ve Otomatik İstismar Önleme teknolojileri ile belirlenmişti.

Yöneticilerinizin veya bilgi güvenliği ekibinizin Microsoft sıfır gün tehditlerini tespit etmede kullanılan metotları daha iyi kavraması gerekiyorsa, Üç ayda üç Windows Zero Day webinarımızı öneririz.

İpuçları