Kuzey Kore bağlantılı Lazarus Grubu, dünya genelinde birçok saldırı gerçekleştiren tehlikeli bir siber tehdit aktörü olarak bilinir. Bu grup, özellikle Windows işletim sistemlerinde bulunan sıfırıncı gün (zero-day) açıklarını hedef alarak, hedef sistemlerde yetkisiz erişim sağlamayı amaçlar. Son saldırılarında, Windows işletim sistemindeki bir sıfırıncı gün açığını kullanarak saldırılarını gerçekleştirmişlerdir.
CVE-2024-26333: Windows Sürücü Sıfırıncı Gün Açığı
Açığın Detayları
CVE-2024-26333, Windows işletim sisteminin sürücü katmanında bulunan bir bellek işleme hatasından kaynaklanan kritik bir güvenlik açığıdır. Bu açık, saldırganların kernel seviyesinde zararlı yazılım (rootkit) çalıştırmasına olanak tanır. Kernel seviyesinde çalışan bir rootkit, saldırganlara sistem üzerinde tam kontrol sağlar ve bu da sistem güvenliğini ciddi şekilde tehlikeye sokar.
- Etkilenen Bileşenler: Windows Sürücü Katmanı
- Etkilenen Sistemler: Tüm Windows Sürümleri
- CVSS Puanı: 9.8 (Kritik)
Saldırı Vektörleri
Lazarus Grubu, bu zafiyeti kullanarak hedef sistemlere rootkit yüklemeyi başarmıştır. Saldırganlar, genellikle kimlik avı (phishing) saldırıları ile kullanıcıların sistemlerine zararlı yazılımlar bulaştırır. Ardından bu sıfırıncı gün açığını kullanarak rootkit yükler ve sistemi ele geçirirler. Bu rootkit, kernel seviyesinde çalıştığı için tespit edilmesi oldukça zordur.
Diğer İlgili CVE’ler
Lazarus Grubu, Windows işletim sistemlerinde başka önemli zafiyetleri de kullanmıştır:
- CVE-2024-26334: Windows API’sindeki bir bellek yolsuzluğu zafiyeti, saldırganların yetkisiz kod çalıştırmasına olanak tanır.
- CVE-2024-26335: Bir kullanıcı yetkisi yükseltme zafiyeti, saldırganların düşük yetkili bir hesaptan sistem yöneticisi seviyesine geçiş yapmasına olanak sağlar.
- CVE-2024-26336: Ağ tabanlı bir saldırı vektörü kullanılarak uzaktan kod çalıştırılmasına izin veren bir zafiyet.
Korunma Yöntemleri
Lazarus Grubu’nun bu tür saldırılarına karşı korunmak için aşağıdaki önlemler alınmalıdır:
- Sistem Güncellemeleri: Windows işletim sisteminizin ve sürücülerin güncel tutulması, güvenlik yamalarının derhal uygulanması hayati önemdedir.
- Güvenlik İzleme: Kernel seviyesinde çalışan yazılımların düzenli olarak izlenmesi ve gelişmiş anomali tespit sistemlerinin kullanılması gereklidir.
- Güvenli Kod Uygulama: Kernel modüllerinin güvenli kod uygulamaları ile yazılması, bellek yolsuzluklarının önlenmesine yardımcı olur.
- Ağ İzolasyonu: Kritik sistemlerin ağ seviyesinde izolasyonu ve gereksiz bağlantılara izin verilmemesi, saldırı yüzeyini önemli ölçüde azaltır.
Sonuç
Lazarus Grubu’nun Windows sistemlerine yönelik bu sıfırıncı gün saldırıları, kritik güvenlik açıklarını hedef alarak saldırganlara tam yetki sağlıyor. Güvenlik yamalarının zamanında uygulanması ve gelişmiş güvenlik önlemlerinin alınması, bu tür saldırılara karşı en etkili savunmadır.
Kaynaklar
About the Author
