Windows'un çekirdeğindeki bir kusur, bilgisayar korsanlarının parolanızın şifrelenmiş karmasını çalmasına olanak tanır. Bu bilgilerle bilgisayar korsanları sizmişsiniz gibi davranabilirler. Rus bilgisayar korsanları tarafından aktif olarak istismar edilen kusur, kurbanın en ufak bir eylemde bulunmasını gerektirmiyor.
Microsoft, Windows kullanıcılarını işletim sisteminin çekirdeğinde tespit edilen bir güvenlik açığı konusunda uyarıyor. Bulunduğu yer Windows KabuğuWindows grafik dış görünümü sayesinde, kurbanın tepki vermesine gerek kalmadan bu güvenlik açığından yararlanılabilir. Bu neredeyse “sıfır tıklama” tipi bir kusurdur ve bilgisayar korsanının, hedefini bir programı başlatmaya veya tuzağa düşmüş bir bağlantıya tıklamaya ikna etmesine gerek kalmadan hedeflerine ulaşmasını sağlar. Bu durumda hedefin alınan dosyaya tıklaması yeterlidir.
“Windows Kabuğu koruma mekanizmasındaki bir kusur, yetkisiz bir saldırganın ağdaki bir kullanıcının kimliğine bürünmesine olanak tanır. Saldırgan, kurbana kötü amaçlı bir dosya göndermelidir »Microsoft bunu 27 Nisan raporunda açıklıyor.
Ayrıca okuyun: Microsoft, çifte kimlik doğrulamayı aşmak için bilgisayar korsanlarının gizli silahını yok etti
Şifrenizin şifrelenmiş parmak izi
Somut olarak, saldırı bir temele dayanmaktadır. LNK dosyası (bir Windows kısayolu) dikkatlice sıkıştırılmış. Windows bu dosyayı işlediğinde, tamamen saldırgan tarafından kontrol edilen uzak bir sunucuya otomatik olarak bağlanmaya çalışacaktır. Bu bağlantı karmanın gönderilmesini tetikler NTLMv2yani bilgisayar korsanlarının sunucusundaki Windows parolanızın şifrelenmiş parmak izi.
Saldırganlar bunu iki şekilde kullanabilirler. Öncelikle, şifrelenmiş parmak izine göre kodu yeniden oluşturacak özel bir yazılım kullanarak şifreyi çevrimdışı olarak kırmayı deneyebilirler. Onlar da yapabilirler ve her şeyden önce kurban gibi davranmak için bu parmak izini yeniden kullanın Aynı ağdaki diğer sunucularda, şifreyi bile bilmeden. İş dünyasında bu, bir bilgisayar korsanının birkaç dakika içinde makineden makineye sıçramasına ve hassas sistemleri tehlikeye atmasına olanak tanıyabilir.
Rus bilgisayar korsanları bu kusurdan yararlanıyor
Bu güvenlik açığı son birkaç yıldır suç grupları tarafından aktif olarak istismar ediliyor. Aralık ayında, Fancy Bear veya Forest Blizzard olarak da bilinen Rus askeri istihbaratıyla bağlantılı bir hacker grubu olan APT28, bu güvenlik açığını Ukrayna'ya ve birkaç Avrupa Birliği ülkesine yönelik bir casusluk operasyonunun parçası olarak kullandı. Ekip, Windows'un kötü amaçlı yazılımlara ve kimlik avına karşı yerleşik koruması olan Microsoft Defender SmartScreen'i atlayarak bu kusurdan yararlanmak için bir dizi kusurdan yararlandı.
Ayrıca okuyun: Windows siber saldırıları – bir kusur, Defender antivirüsünü bilgisayar korsanları için bir silaha dönüştürüyor
İki denemeden sonra düzeltilen hata
Microsoft ilk olarak geçen Şubat ayında kusuru düzeltmeye çalıştı. Ne yazık ki düzeltme tamamlanmadı. Orijinal yamanın sorunu yalnızca kısmen çözdüğünü keşfeden kişi Akamai güvenlik araştırmacısı Maor Dahan'dı. Eğer Microsoft kötü amaçlı kodun uzaktan yürütülmesini gerçekten engellediyse, veri hırsızlığına izin veren bir arka kapıyı açık bırakmıştı. Kusur bu yüzdendi daha sonra aktif olarak sömürüldüWindows kodundaki diğer güvenlik açıklarının yanı sıra. Araştırmacıların sorguladığı Microsoft, sizi daha fazla gecikmeden yüklemeye davet ettiğimiz Nisan 2026 Salı Yaması ile kusuru kesin olarak kapattı.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın