Microsoft, kamuya açıklanan Zero-Day güvenlik açıklarından giderek daha fazla yararlanan ulus devlet ve suç örgütlerinde artış olduğunu belirtti.
Microsoft, 114 sayfalık Dijital Savunma Raporunda, “bir güvenlik açığının duyurulması ile bu güvenlik açığından yararlanma arasındaki sürede bir azalma gözlemlediğini” ve kuruluşların bu tür istismarları zamanında kapatmasının zorunlu hale geldiğini söyledi. Microsoft, bir kusurun kamuya açıklanmasından sonra bu açıktan yararlanmanın ortalama olarak yalnızca 14 gün sürdüğünü belirterek, zero-day saldırılarının başlangıçta kapsam olarak sınırlı olmasına rağmen, diğer saldırganlar tarafından hızla benimsenme eğiliminde olduğunu belirtti. Ayrıca Çin devlet destekli grupları, zero-day açıklarını keşfetme ve geliştirmede “özellikle yetkin” olmakla suçladı.
Çin Siber Uzay İdaresi’nin (CAC) Eylül 2021’de güvenlik zafiyetlerinin ürün geliştiricilerle paylaşılmadan önce hükümete bildirilmesini gerektiren yeni bir güvenlik açığı raporlama düzenlemesini yürürlüğe koymasıyla bu şüpheleri daha da arttı.
Microsoft ayrıca, yasanın hükümet destekli unsurların rapor edilen hataları depolamasına ve silahlandırmasına izin verebileceğini ve bunun da Çin’in ekonomik ve askeri çıkarlarını ilerletmek için tasarlanmış casusluk faaliyetlerinde zero-day kullanımının artmasıyla sonuçlanabileceğini söyledi.
Çinli saldırganlar tarafından ilk kez yararlanılan güvenlik açıklarından bazıları aşağıdaki gibi;
- CVE-2021-35211 (CVSS score: 10.0) – A remote code execution flaw in SolarWinds Serv-U Managed File Transfer Server and Serv-U Secure FTP software that was exploited by DEV-0322.
- CVE-2021-40539 (CVSS score: 9.8) – An authentication bypass flaw in Zoho ManageEngine ADSelfService Plus that was exploited by DEV-0322 (TiltedTemple).
- CVE-2021-44077 (CVSS score: 9.8) – An unauthenticated remote code execution flaw in Zoho ManageEngine ServiceDesk Plus that was exploited by DEV-0322 (TiltedTemple).
- CVE-2021-42321 (CVSS score: 8.8) – A remote code execution flaw in Microsoft Exchange Server that was exploited three days after it was revealed during the Tianfu Cup hacking contest on October 16-17, 2021.
- CVE-2022-26134 (CVSS score: 9.8) – An Object-Graph Navigation Language (OGNL) injection flaw in Atlassian Confluence that’s likely to have been leveraged by a China-affiliated actor against an unnamed U.S. entity days before the flaw’s disclosure on June 2.
Özellikle hala düzetilmeyen zero-day zafiyetleride düşünüldüğünde ayrıca tavsiye edilen mitigate yöntemlerinin defalarca bypass edildiği gözönüne alındığında sistemlerin nasıl korunacağı büyük bir soru işareti olarak önümüzde duruyor.
Kaynak: thehackernews.com