Microsoft, Storm-0978 olarak izlenen saldırgan tarafından yürütülen ve Avrupa ile Kuzey Amerika’ daki devlet kurumlarını hedef alan ve CVE-2023-36884 açığını kullanarak bir kimlik avı saldırısı tespit etti. Bu saldırıların casusluk amacıyla kullanıldığı tespit edildi.

Storm-098 saldırı grubu kimdir: Saldırıyı yapan Storm-0978 diğer bilinen adıyla arka kapılarının adı olan RomCom, Rusya merkezli bir siber suç grubudur. Bu grubun sadece fidye saldırıları yapmasının dışında, istihbarat operasyonlarını desteklemek için kimlik bilgisi toplama saldırıları da gerçekleştirdiği bilinmektedir. Bu grup Mayıs 2022’ de Industrial Spy fidye yazılımıyla da yakından ilişkili olan Underground fidye yazılımını da dağıtan gruptur.

CVE-2023-36884 açığı nasıl istismar edilir: Microsoft Windows ve Office ürünlerini etkileyen bir dizi uzaktan kod çalıştırma güvenlik açığından faydalanmayı sağlayan zafiyettir. Saldırganlar özel olarak hazırladıkları Microsoft Office belgelerini kullanarak RCE (Remote Code Execution- Uzaktan Kod Yürütme) saldırıları yapma olanağı sağlayabilmektedirler. Bu saldırıyı gerçekleştirebilmesi için saldırganın, kurban bilgisayarında bu dosyanın açılmasına ikna etmesi gerekmektedir.

Başarılı bir saldırı, saldırganlara hassas bilgilere erişme yetkisi, sistemlerin korunmasını sağlayan güvenlik önmelmerini devre dışı bırakabilme ve güvenlik ihlali yaşanmış bir sisteme erişimi reddetme yeteneği sağlayarak bilgi güvenliğinin üç temel unsuru olan gizlilik, bütünlük ve erişilebilirliği ortadan kaldırabilmeye olanak sağlamaktadır.

Storm-0978'in hedefindeki ülkeler, başta Ukrayna'daki hükümet ve askeri kuruluşların yanı sıra Avrupa ve Kuzey Amerika'da Ukrayna meseleleriyle ilgili olabilecek kuruluşları da etkilemiştir.

Office 365 için Microsoft Defender kullanan müşteriler, CVE-2023-36884'ten yararlanmaya çalışan eklerden korunmaktadırlar. Buna ek olarak, Microsoft 365 Uygulamaları (2302 ve sonraki sürümler için) kullanan müşteriler, Office aracılığıyla güvenlik açığından yararlanmaya karşı korunmaktadırlar.

Saldırganlar Bu Açıktan Faydalanarak Neler Yaptı:

Bu saldırılarda, Ukrayna Dünya Kongresi örgütünü taklit edilerek, kötü amaçlı belgeler oluşturularak phishing (oltalama) mailleri oluşturulmuş ve bu e-postalar Avrupa ve Kuzey Amerika’ daki savunma ve hükümet kuruluşlarına yönlendirilmiş ve burada casusluk faaliyetleri yapılmıştır.

Saldırılardan Korunmak İçin Uygulanacak Adımlar:

Bu saldırı önlemek adına Microsoft henüz bir güncelleştirme yayınlamamıştır. Bu nedenle aşağıda gösterilen yöntem kullanılarak bu saldırılardan kendinizi ya da kurumunuzu koruyabilirsiniz.

Bu korumalardan yararlanamayan kuruluşlar, istismarı önlemek için FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kayıt defteri anahtarını ayarlayabilir.

Kayıt Defterinde Yapılacak Ayar:

“HKEY_LOCAL_MACHINE --> SOFTWARE --> Policies --> Microsoft --> Internet Explorer --> Main --> FeatureControl --> FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION” kayıt defteri anahtarına “1” verisi ile REG_DWORD türünde değerler olarak eklenmesi gerekmektedir.

· excel.exe

· PowerPoint.exe

· WinWord.exe

· wordpad.exe

· Grafik.exe

· MSAccess.exe

· MSPub.exe

· Visio.exe

· WinProj.exe

NOT: Bu ayarın değiştirilmesi sonucu normal işlevselliğin de etkileyebileceğini unutmayın.