2020-ci ilin yazında Kaspersky *öncədən məlum olmayan iki proqram boşluğundan istifadə edərək Cənubi Koreya şirkətini hədəf alan kiber hücumun qarşısını alıb. Bir eksployt (proqram təminatında olan zəif yerlərdən istifadə edən və əməliyyat sisteminə hücumu həyata keçirmək üçün tətbiq olunan kompüter proqramı, proqram kodunun fraqmenti və ya komandalar ardıcıllığı) kodun Internet Explorer 11-də uzaqdan icra edilməsinə, digəri isə Windows 10-un ən yeni versiyalarında imtiyazlar əldə edilməsinə şərait yaradıb.
Internet Explorer üçün eksployt təcavüzkarlar üçün yetərli olmayıb, çünki bu brauzer təcrid olunmuş bir mühitdə işləyir və onlara lazım olan üstünlükləri vermir. Yoluxmuş cihazda ixtiyari bir kodu icra etmək üçün təcavüzkarlar başqa bir eksployt tətbiq ediblər -o, Windows çap funksiyasındakı bir boşluqdan istifadə edib.
«Sistemdəki öncədən məlum olmayan boşluq zəifliyindən istifadə edilərək həyata keçirilən hücum aşkara çıxarsa, bu, tərtibatçılar arasında həmişə böyük bir təşvişə səbəb olur. Satıcı təcili olaraq bir yamaq (patch) buraxır və istifadəçilərə lazımi yeniləmələri ən qısa müddətdə quraşdırmalı olduqlarını bildirir. Bu hücumun özəlliyi ondan ibarətdir ki, əgər əvvəllər sistemdə əlavə imtiyazlar əldə etməyə imkan verən eksploytları tapırdıqsa, indiki halda eksployt kodun uzaqdan icra olunmasına imkan yaradır ki, bu daha təhlükəlidir.
Belə hallara tez-tez rast gəlinmir və bu hadisə yeni öncədən məlum olmayan sistem boşluqlarını proaktiv olaraq müəyyənləşdirə biləcək təhdid təhlillərinə və etibarlı təhlükəsizlik texnologiyalarına investisiya etməyin zəruriliyini bir daha təsdiqləyir,» deyə Kaspersky-nin eksperti Boris Larin bildirib.
Yeni eksployt ilə əvvəllər DarkHotel hücumlarında görünənlər arasındakı bəzi oxşarlıqlara əsaslanaraq, Kaspersky mütəxəssisləri sözügedən hücum üçün bu qrupun məsuliyyət daşıması barədə ehtiyatlı ehtimallar irəli sürür. Bu qrup ilə əlaqəli kompromis göstəriciləri, o cümlədən fayl yuvaları və C2 serverləri haqqında ətraflı məlumat Kaspersky Threat Intelligence Portal portalında mövcuddur.
Kaspersky-nin məhsulları bu eksploytları PDM:Exploit.Win32.Generic hökmü ilə aşkar edir. CVE-2020-0986 boşluğu üçün yamaq (patch) 9 iyun 2020-ci ildə, CVE-2020-1380 boşluğu üçün yamaq isə 11 Avqust 2020-də buraxılıb.
Şirkətin infrastrukturunu bu boşluqlardan istifadə edilərək həyata keçirilən mümkün hücumlardan qorumaq üçün Kaspersky aşağıdakı tədbirləri görməyi tövsiyə edir:
- Microsoft tərəfindən yayımlanan yamaqları (patch) ən qısa müddətdə quraşdırın;
- SOC mərkəzinin işçilərinə təhdidlər haqqında ən yeni məlumatlara, məsələn, Kaspersky-nin 20 ildən artıq fəaliyyət göstərdiyi müddətdə toplanmış kiberhücum məlumatlarının yığıldığı Kaspersky Threat Intelligence Portal-ına giriş icazəsi verin;
- istifadə zəncirinin son cihazlarını qorumaq, hadisələri vaxtında araşdırmaq və onlara vaxtında reaksiya vermək üçün Kaspersky Endpoint Detection and Response kimi bir EDR həlli tətbiq edin;
- əsas təhlükəsizlik məhsullarına əlavə olaraq, Kaspersky Anti Targeted Attack Platform kimi şəbəkə səviyyəsində erkən mərhələlərdə inkişaf etmiş təhdidləri aşkarlaya bilən korporativ səviyyəli bir həll tətbiq edin.
Bu eksploytlar haqqında daha çox məlumatı buradan əldə edə bilərsiniz: https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/
Qeyddə həmçinin Microsoft Windows-da bu və ya digər öncədən məlum olmayan boşluq zəifliklərini aşkar edən texnologiyalar haqqında İngilis dilində bir vebinar da mövcuddur.
*Öncədən məlum olmayan boşluq — proqram təminatında öncədən məlum olmayan bir xətadır və onun vasitəsilə ciddi zərərlərə yol aça biləcək zərərli hərəkətlərin gizli həyata keçirilməsi mümkündür