Geçen hafta araştırmacılar, kazara PrintNightmare olarak da bilinen ve kullanıcıların kurumsal ağlara erişmesine müsaade veren kritik bir Windows Print Spooler güvenlik açığını ortaya çıkaran tekniğin ayrıntılarını (PoC) yayınladı. Güvenlik açığı için düzeltme yaması yayınlanmış olsa da, kullanıcıların büyük çoğunluğu şimdi yamayı indirip yüklemedi. İstismar GitHub’dan süratle kaldırılmış olmakla birlikte birtakım kullanıcılar tekniği süratle indirip tekrar yayınlamayı başardı.
Bunu takiben PrintNightmare, Windows Print Spooler hizmetini çalıştıran güvenlik açığına sahip bir sunucu yahut istemcinin denetimini ele geçirmek maksadıyla olağan bir kullanıcı hesabına sahip siber hatalılar tarafından kullanılabilir hale geldi. Kelam konusu açık saldırgana savunmasız tesir alanı denetleyicileri dahil kurbanın bilgisayarına makus gayeli programlar dağıtma ve yükleme, depolanan bilgileri çalma ve tam kullanıcı haklarına sahip yeni hesaplar oluşturma fırsatı tanıyor.
PoC istismarının birinci sürümünün kamuya açık hale gelmesinin akabinde, araştırmacılar istismarın öbür sürümlerini yayınlamaya başladılar. PrintNightmare güvenlik açığı, Mimikatz ve Metasploit üzere yeni çerçeve modüllerinde de istismara tabi. Sonuç olarak Kaspersky uzmanları, PrintNightmare istismarını kullanarak kurumsal kaynaklara erişim elde etme teşebbüslerinin sayısının artacağını ve buna yeni fidye yazılımı ve bilgi hırsızlığı risklerinin eşlik ettiğini kestirim ediyor.
Kaspersky Güvenlik Uzmanı Evgeny Lopatin, şunları söylüyor: “Bu güvenlik açığı hakikaten önemli, zira siber hatalıların bir kuruluşun ağındaki başka bilgisayarlara erişmesine müsaade veriyor. İstismar herkese açık olduğundan, birçok dolandırıcı bundan faydalanacaktır. Bu nedenle, tüm kullanıcıları Windows için en son güvenlik güncellemelerini uygulamaya çağırıyoruz.”
Kaspersky eserleri, kelam konusu güvenlik açıklarından yararlanan taarruzlara karşı muhafaza sağlıyor ve makûs niyetli teşebbüsleri şu isimlerle algılıyor:
HEUR:Exploit.Win32.CVE-2021-1675.*
HEUR:Exploit.Win32.CVE-2021-34527.*
HEUR:Exploit.MSIL.CVE-2021-34527.*
HEUR:Exploit.Script.CVE-2021-34527.*
HEUR:Trojan-Dropper.Win32.Pegazus.gen
PDM:Exploit.Win32.Generic
PDM:Trojan.Win32.Generic
Exploit.Win32.CVE-2021-1675.*
Exploit.Win64.CVE-2021-1675.*
Kaynak: (BHA) – Beyaz Haber Ajansı
