Siber casuslar güvenlik açıklarından içeri sızıyor

ESET araştırmacıları, Windows için WPS Office’te (CVE-2024-7262) bir uzaktan kod çalıştırma güvenlik açığı keşfetti. Açığın, Güney Kore’ye bağlı bir siber casusluk kümesi olan APT-C-60 tarafından Doğu Asya ülkelerini gaye almak için kullanıldığı paylaşıldı. 

ESET, temel nedeni incelerken yanlışlı koddan (CVE-2924-7263) yararlanmanın öbür bir yolunu daha keşfetti. Koordineli bir ifşa sürecinin akabinde, her iki güvenlik açığı da yamalandı. APT-C-60 hücumundaki son yükün ESET Research’ün dahili olarak SpyGlace ismini verdiği siber casusluk yeteneklerine sahip özel bir art kapı olduğu belirtildi. Güvenlik açıklarını tahlil eden ESET araştırmacısı Romain Dumont şu açıklamayı yaptı: “APT-C-60 faaliyetlerini araştırırken kümenin birçok indirici bileşeninden birine atıfta bulunan garip bir elektronik tablo dokümanı bulduk. WPS Office yazılımının dünya çapında 500 milyondan fazla etkin kullanıcısı var, bu da onu bilhassa Doğu Asya bölgesinde kıymetli sayıda şahsa ulaşmak için âlâ bir gaye haline getiriyor.” ESET ve satıcı ortasındaki koordineli güvenlik açığı ifşa süreci sırasında, DBAPPSecurity bağımsız olarak silahlandırılmış güvenlik açığının bir tahlilini yayımladı ve APT-C-60’ın Çin’deki kullanıcılara berbat gayeli yazılım göndermek için güvenlik açığından yararlandığını doğruladı.

Kötü gayeli evrak, yaygın olarak kullanılan XLS elektronik tablo formatının bir MHTML dışa transferi olarak geliyor. Bununla birlikte, WPS Spreadsheet uygulaması kullanılırken tıklandığında rastgele bir kütüphanenin yürütülmesini tetiklemek için tasarlanmış özel olarak hazırlanmış ve bâtın bir köprü içerir. Alışılmadık MHTML belge formatı, doküman açılır açılmaz bir belgenin indirilmesine müsaade veriyor; bu nedenle, güvenlik açığından yararlanırken bu teknikten yararlanmak uzaktan kod yürütülmesini sağlıyor. 

Romain Dumont yaşanan olayı şöyle açıkladı: “Bu güvenlik açığından faydalanmak için bir saldırganın makûs emelli bir kütüphaneyi gaye bilgisayarın erişebileceği bir yerde, sistemde ya da uzak bir paylaşımda saklaması ve belge yolunu evvelden bilmesi gerekir. Bu açığı maksat alan istismar geliştiricileri, bunu başarmalarına yardımcı olan birkaç numara biliyorlardı. Elektronik tablo dokümanı WPS Spreadsheet uygulaması ile açıldığında uzak kütüphane otomatik olarak indirilir ve diskte saklanır”.

Bu tek tıklamalı bir güvenlik açığı olduğundan istismar geliştiricileri kullanıcıyı kandırmak ve dokümanın olağan bir elektronik tablo olduğuna ikna etmek için elektronik tablonun satır ve sütunlarının bir fotoğrafını içine yerleştirmiştir. Makûs maksatlı köprü resme bağlanmıştır böylelikle fotoğraftaki bir hücreye tıklandığında istismar tetiklenecektir.

Kingsoft’un sessizce yayımladığı yamayı tahlil ettikten sonra Dumont, kusurun düzgün bir halde düzeltilmediğini fark etti ve kusurlu girdi doğrulaması nedeniyle açıktan yararlanmanın öteki bir yolunu keşfetti. ESET Research her iki güvenlik açığını da Kingsoft’a bildirdi ve Kingsoft da bunları kabul ederek yamaladı. İki yüksek değer dereceli CVE girişi oluşturuldu: CVE-2024-7262 ve CVE-2024-7263.

Bu keşif, dikkatli bir yama doğrulama sürecinin ve temel sorunun tam olarak ele alındığından emin olmanın ehemmiyetinin altını çiziyor. ESET, Windows için WPS Office kullanıcılarına yazılımlarını en son sürüme güncellemelerini şiddetle tavsiye ediyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı