Siber güvenlik şirketi ESET, Rusya’ya bağlı RomCom Gelişmiş kalıcı tehdit (APT) kümesi tarafından istismar edilen, biri Mozilla’da oburu Windows’ta olmak üzere daha evvel bilinmeyen iki güvenlik açığı keşfetti.
ESET, güvenlik açığını 8 Ekim 2024 tarihinde Mozilla’ya bildirdi; bir gün içinde yamalandı. Windows’ta ortaya çıkarılan ve Firefox’un sanal alanının dışında çalışmasına müsaade veren bir ayrıcalık yükseltme yanılgısını Microsoft 12 Kasım 2024 tarihinde bir yama yayımladı.
ESET araştırmacıları, Mozilla eserlerinde daha evvel bilinmeyen bir güvenlik açığı olan CVE-2024-9680’in Rusya’ya bağlı APT kümesi RomCom tarafından kullanıldığını keşfetti. Yapılan derinlemesine tahliller, Windows’ta diğer bir sıfır gün güvenlik açığını ortaya çıkardı: CVE-2024-49039 olarak atanan bir ayrıcalık yükseltme yanılgısı. Başarılı bir atakta, bir kurban açığı içeren bir web sayfasına göz atarsa bir düşman rastgele bir kullanıcı etkileşimi gerekmeden (sıfır tıklama) keyfi kod çalıştırabilir, bu durumda RomCom’un art kapısının kurbanın bilgisayarına yüklenmesine yol açar. Küme tarafından kullanılan art kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme yeteneğine sahip. ESET Research tarafından 8 Ekim’de keşfedilen Mozilla ile ilgili kritik güvenlik açığı, 0 ile 10 ortasında bir ölçekte 9,8 CVSS puanına sahip. RomCom, 2024 yılında Ukrayna ve başka Avrupa ülkelerinin yanı sıra Amerika Birleşik Devletleri’nde de tesirli oldu. ESET telemetrisine nazaran, 10 Ekim 2024’ten 4 Kasım 2024’e kadar, istismarı barındıran web sitelerini ziyaret eden potansiyel kurbanlar çoğunlukla Avrupa ve Kuzey Amerika’da bulunuyordu.
Windows’ta açık giderildi
8 Ekim 2024 tarihinde ESET araştırmacıları CVE-2024-9680 güvenlik açığını keşfetti. Firefox’taki animasyon vakit çizelgesi özelliğindeki bir use-after-free yanlışıdır. Mozilla bu açığı 9 Ekim 2024 tarihinde kapattı. Derinlemesine tahlil, Windows’ta diğer bir sıfır gün güvenlik açığını ortaya çıkardı: Kodun Firefox’un sanal alanının dışında çalışmasına müsaade veren ve artık CVE 2024 49039 olarak atanan bir ayrıcalık yükseltme yanlışı. Microsoft bu ikinci güvenlik açığı için 12 Kasım 2024 tarihinde bir yama yayımladı.
8 Ekim’de keşfedilen CVE-2024-9680 güvenlik açığı, Firefox, Thunderbird ve Tor Browser’ın savunmasız sürümlerinin tarayıcının kısıtlı bağlamında kod yürütmesine müsaade veriyor. Windows’ta daha evvel bilinmeyen ve CVSS puanı 8.8 olan CVE-2024-49039 açığı ile zincirleme olarak, oturum açan kullanıcı bağlamında keyfi kod çalıştırılabilir. İki sıfırıncı gün açığının bir ortaya getirilmesi RomCom’a kullanıcı etkileşimi gerektirmeyen bir istismar imkanı sağlamıştı. Bu karmaşıklık düzeyi, tehdit aktörünün kapalı yetenekler elde etme yahut geliştirme niyetini ve araçlarını göstermektedir. Ayrıyeten başarılı istismar teşebbüsleri RomCom art kapısını yaygın bir kampanya üzere görünen bir biçimde teslim etti.
Hedefli siber casusluk
RomCom (Storm-0978, Tropical Scorpius ya da UNC2596 olarak da bilinir), seçilmiş iş bölümlerine karşı fırsatçı kampanyalar ve gayeli casusluk operasyonları yürüten Rusya’ya bağlı bir küme. Kümenin odak noktası, daha klâsik siber hata operasyonlarına paralel olarak istihbarat toplayan casusluk operasyonlarını da içerecek halde değişmiştir. ESET, 2024 yılında RomCom’un Ukrayna’da devlet kurumlarına, savunma ve güç kesimlerine, ABD’de ilaç ve sigorta bölümlerine, Almanya’da hukuk bölümüne ve Avrupa’da devlet kurumlarına yönelik siber casusluk ve siber hata operasyonlarını keşfetti.
Her iki güvenlik açığını da keşfeden ESET araştırmacısı Damien Schaeffer “Tehlike zinciri, potansiyel kurbanı istismarı barındıran sunucuya yönlendiren geçersiz bir web sitesinden oluşuyor ve istismarın başarılı olması durumunda, RomCom art kapısını indiren ve çalıştıran kabuk kodu çalıştırılıyor. Uydurma web sitesinin kontağının nasıl dağıtıldığını bilmiyoruz fakat sayfaya savunmasız bir tarayıcı kullanılarak ulaşılırsa bir yük bırakılır ve kurbanın bilgisayarında kullanıcı etkileşimi gerekmeden çalıştırılır. Mozilla’daki takıma çok hassas oldukları için teşekkür etmek ve bir gün içinde bir yama yayımlamak için etkileyici iş ahlaklarını vurgulamak istiyoruz.” dedi. Her iki güvenlik açığı da sırasıyla Mozilla ve Microsoft tarafından giderildi.
Kaynak: (BYZHA) Beyaz Haber Ajansı