Güvenlik araştırmacıları, Windows sistemlerinde önemli bir güvenlik açığı keşfetti. ‘GrimResource’ olarak adlandırılan bu yeni teknik, saldırganların sistemleri ele geçirmesine ve ağları keşfetmesine olanak tanıyor. Bu açık, ilk olarak Haziran 2024’ün ortalarında tespit edildi ve saldırganlar tarafından kullanılmaya başlandı.
Office Makroları ve Diğer Saldırı Vektörleri
Saldırganlar Microsoft Office makrolarını kullanarak sistemlere sızıyorlar ancak Microsoft bu tür saldırı vektörlerini kapatmak için önemli adımlar attı. İnternetten gelen belgeler için Office makroları varsayılan olarak devre dışı bırakıldı, bu da bu saldırı vektörünün etkisiz hale gelmesini sağladı. Ancak, siber saldırganlar şimdi JavaScript, MSI dosyaları, LNK nesneleri ve ISO dosyaları gibi diğer vektörlerlere yöneldi.
GrimResource ve Windows .msc XSS Açığı
Kuzey Koreli saldırganlar yeni bir saldırı tekniğini kullanıyor gibi görünüyor. Bu yeni enfeksiyon tekniğini GrimResource olarak adlandırdı. Saldırı, .msc dosyalarını kullanarak mmc.exe olarak kod yürütmeye olanak tanıyor. Bir kullanıcının özel olarak hazırlanmış bir .msc dosyasını çift tıklayarak açması yeterli.
XML Dosyalarının Kötüye Kullanılması
GitHub’da bu saldırı vektörünün PoC dosyasını yayınladı. Dosya, .msc dosyalarının XML belgeleri olduğunu gösteriyor.
<?xml version="1.0"?><MMC_ConsoleFile ConsoleVersion="3.0" ProgramMode="UserSDI">
<ConsoleFileID>a7bf8102-12e1-4226-aa6a-2ba71f6249d0</ConsoleFileID>
<FrameState ShowStatusBar="false">
<WindowPlacement ShowCommand="SW_HIDE">
<Point Name="MinPosition" X="-1" Y="-1"/>
<Point Name="MaxPosition" X="-1" Y="-1"/>
<Rectangle Name="NormalPosition" Top="0" Bottom="0" Left="0" Right="0"/>
</WindowPlacement>
</FrameState>
<Views>
Saldırı Vektörünün Detayları
GrimResource saldırı vektörü, apds.dll kütüphanesindeki eski bir XSS açığını kullanıyor. Hazırlanmış bir MSC dosyasının ilgili StringTable bölümüne kimlik doğrulama protokolü alan desteği (APDS) kaynağına referans ekleyerek saldırganlar, mmc.exe dosyası ile rastgele JavaScript çalıştırabiliyor.
Kendinizi Nasıl Koruyabilirsiniz?
BT ekipleri .msc dosyalarının internet kaynaklarından (Mark of the Web bayrağı, MotW) çalıştırmasını engellenip engellenmediğini kontrol ederek GrimResource’a karşı kendilerini koruyabilirler.
GrimResource’un keşfi, siber tehditlerin sürekli evrildiğini ve siber güvenlik uygulamalarında sürekli dikkatli olmanın gerekliliğini vurguluyor. Bilgi sahibi ve proaktif kalarak, kuruluşlar sistemlerini ortaya çıkan güvenlik açıklarından ve siber saldırganların kullandığı sofistike taktiklerden daha iyi koruyabilirler.