Hacktivist grup DragonForce Malaysia, Windows Server yerel ayrıcalık yükseltmesinin (LPE) yerel dağıtım yönlendiricisi (LDR) özelliklerine erişim izni vermesine olanak tanıyan bir istismar yayınladı. Ayrıca cephaneliğine fidye yazılımı saldırılarını da eklediğini duyurdu.
Grup, 23 Haziran'da Telegram kanalında istismarın kavram kanıtını (PoC) yayınladı ve daha sonra bu CloudSEK tarafından analiz edildi Bu hafta. Hata için bilinen bir CVE olmasa da grup, bu açıktan yararlanmanın, bir kuruluşun çeşitli konumlarındaki yerel ağları birbirine bağlamak için kullanılan LDR katmanına erişmek amacıyla kimlik doğrulamayı "uzaktan bir saniyede" atlamak için kullanılabileceğini iddia ediyor.
Grup, bu istismarı Hindistan'da faaliyet gösteren ve doğrudan kendi kaptan köşkünde yer alan işletmeleri hedef alan kampanyalarda kullanacağını söylüyor. Geçtiğimiz üç ay boyunca DragonForce Malaysia, Orta Doğu ve Asya'daki çok sayıda devlet kurum ve kuruluşunu hedef alan çeşitli kampanyalar başlattı.
Radware'in siber tehdit istihbarat bölümü araştırma başkanı Daniel Smith, "DragonForce Malezya, uzun süre jeopolitik huzursuzluklarla hatırlanacak bir yıla katkıda bulunuyor" diyor. "Diğer hacktivistlerle birlikte tehdit grubu, Rusya/Ukrayna savaşıyla ilgili hacktivistlerin yeniden dirilişi sırasında bağımsız kalarak Anonymous'un bıraktığı boşluğu başarıyla doldurdu."
"OpsPatuk" olarak adlandırılan ve haziran ayında başlatılan en son saldırıda, ülke genelinde birçok devlet kurumu ve kuruluşunun veri sızıntıları ve hizmet reddi saldırılarının hedefi olduğu görüldü; tahrifat sayısı 100 web sitesini aştı.
Smith, "DragonForce Malezya'nın öngörülebilir gelecekte sosyal, politik ve dini bağlantıları temelinde yeni gerici kampanyalar tanımlamaya ve başlatmaya devam etmesi bekleniyor" diyor. “DragonForce Malezya'nın son operasyonları… dünya çapındaki kuruluşlara bu zamanlarda dikkatli olmaları gerektiğini ve mevcut tehditlerin dışında tehditlerin de bulunduğunun farkında olmaları gerektiğini hatırlatmalı. Doğu Avrupa'da siber çatışma".
LPE Neden Yama Radarında Olmalı?
Uzaktan kod yürütme (RCE) kadar gösterişli olmasa da, LPE istismarları Normal bir kullanıcıdan SİSTEM'e giden yolu sağlar; bu, aslında Windows ortamındaki en yüksek ayrıcalık düzeyidir. LPE güvenlik açıkları, kötüye kullanılması durumunda saldırganın yalnızca kapıdan içeri girmesine izin vermekle kalmaz, aynı zamanda yerel yönetici ayrıcalıkları ve ağdaki en hassas verilere erişim de sağlar.
Bu artırılmış erişim düzeyiyle saldırganlar sistemde değişiklikler yapabilir, depolanan hizmetlerden kimlik bilgilerini kurtarabilir veya o sistemi kullanan veya bu sistemde kimlik doğrulaması yapmış diğer kullanıcıların kimlik bilgilerini kurtarabilir. Diğer kullanıcıların kimlik bilgilerinin kurtarılması, bir saldırganın bu kullanıcıların kimliğine bürünmesine ve ağ üzerinde yanal hareket için yollar sağlamasına olanak tanıyabilir.
Saldırgan, artan ayrıcalıklarla aynı zamanda yönetici görevlerini gerçekleştirebilir, kötü amaçlı yazılım çalıştırabilir, verileri çalabilir, kalıcı erişim elde etmek için bir arka kapı çalıştırabilir ve çok daha fazlasını gerçekleştirebilir.
CloudSEK'in baş tehdit araştırmacısı Darshit Ashara, örnek bir saldırı senaryosu sunuyor.
Ashara, "Ekibin saldırganı, başlangıç noktası kazanmak ve Web tabanlı bir arka kapı yerleştirmek için herhangi bir basit Web uygulaması tabanlı güvenlik açığından kolayca yararlanabilir" diyor. “Genellikle Web sunucusunun barındırıldığı makine kullanıcı ayrıcalığına sahip olacaktır. LPE istismarının, tehdit aktörünün daha yüksek ayrıcalıklar elde etmesine ve yalnızca tek bir web sitesini değil, sunucuda barındırılan diğer web sitelerini de tehlikeye atmasına olanak tanıyacağı yer burasıdır."
LPE Açıklarından Yararlanmalar Çoğu Zaman Yamasız Kalır
Bir bilgi güvenliği danışmanlık firması olan LARES Consulting'in çekişmeli mühendislik direktörü Tim McGuffin, çoğu kuruluşun LPE açıklarından yararlanmaya yönelik yamaları beklediğini, çünkü bunların genellikle ilk etapta ağa veya uç noktaya ilk erişim gerektirdiklerini açıklıyor.
"Erişimin başlangıçta engellenmesi için çok fazla çaba harcanıyor, ancak saldırı zincirinde ilerledikçe ayrıcalık artırma, yanal hareket ve ısrar gibi taktiklere daha az çaba harcanıyor" diyor. "Bu yamalar genellikle önceliklendirilir ve üç ayda bir yamalanır ve acil bir 'hemen yama' sürecini kullanmaz."
Digital Shadows'un kıdemli siber tehdit istihbaratı analisti Nicole Hoffman, ister LPE ister RCE olsun her güvenlik açığının öneminin farklı olduğunu belirtiyor.
"Tüm güvenlik açıklarından yararlanılamaz, bu da her güvenlik açığının anında ilgilenilmesi gerekmediği anlamına gelir. Bu duruma göre değişen bir durum” diyor. "Bazı LPE güvenlik açıklarının, saldırıyı gerçekleştirmek için kullanıcı adı ve parolaya ihtiyaç duymak gibi başka bağımlılıkları da var. Bunu elde etmek imkansız değil ancak daha yüksek düzeyde karmaşıklık gerektiriyor."
Hoffman, pek çok kuruluşun bireysel kullanıcılar için yerel yönetici hesapları da oluşturduğunu, böylece kendi yazılımlarını kendi makinelerine yüklemek gibi günlük BT işlevlerini gerçekleştirebildiklerini ekliyor.
"Çok sayıda kullanıcının yerel yönetici ayrıcalıkları varsa, ağdaki kötü amaçlı yerel yönetici eylemlerini tespit etmek daha zor olur" diyor. "Yaygın olarak kullanılan zayıf güvenlik uygulamaları nedeniyle bir saldırganın normal operasyonlara karışması kolay olacaktır."
Ne zaman bir istismar açığa çıkarsa, farklı seviyelerde gelişmişliğe sahip siber suçluların bundan yararlanıp fırsatçı saldırılar gerçekleştirmesinin çok uzun sürmediğini açıklıyor.
"Bir istismar, bu ayak işlerinin bir kısmını ortadan kaldırıyor" diye belirtiyor. "Bu güvenlik açığı için halihazırda toplu tarama yapılıyor olması gerçekçi bir şekilde mümkün."
Hoffman, dikey ayrıcalık yükseltmenin daha fazla karmaşıklık gerektirdiğini ve genellikle gelişmiş kalıcı tehdit (APT) metodolojileriyle daha uyumlu olduğunu ekliyor.
DragonForce Fidye Yazılımına Geçiş Planlıyor
Hacktivist grup, bir videoda ve sosyal medya kanalları aracılığıyla, hacktivist grup aynı zamanda kendi işini kurma planlarını da duyurdu. toplu fidye yazılımı saldırıları düzenlemek. Araştırmacılar bunun bir ayrılıktan ziyade hacktivist faaliyetlerine bir ek olabileceğini söylüyor.
Hoffman, "DragonForce, yarattıkları istismardan yararlanarak yaygın fidye yazılımı saldırıları gerçekleştirdiklerinden bahsetti" diye açıklıyor. "WannaCry fidye yazılımı saldırısı, eğer nihai amaç finansal kazanç ise, yaygın fidye yazılımı saldırılarının aynı anda ne kadar zorlayıcı olduğunun harika bir örneğiydi."
Ayrıca siber suç tehdit gruplarının bu duyurularını görmenin alışılmadık bir durum olmadığını, çünkü bu durumun dikkatleri gruba çektiğine dikkat çekiyor.
Ancak McGuffin'in bakış açısına göre, taktiklerde bir değişikliğin kamuoyuna duyurulması özellikle hacktivist bir grup için "merak uyandırıcı".
"Gerekçeleri daha çok yıkım ve hizmet reddi olabilir ve tipik fidye yazılımı grupları gibi daha az kar elde etmek olabilir, ancak fonu hacktivist yeteneklerini veya davalarına ilişkin farkındalığı artırmak için kullanıyor olabilirler" diyor.
Ashara, DragonForce'un planladığı değişimin vurgulanmaya değer olduğu konusunda hemfikir çünkü grubun amacı mümkün olduğu kadar çok etki yaratmak, ideolojilerini güçlendirmek ve mesajlarını yaymak.
"Dolayısıyla grubun fidye yazılımını duyurmasındaki motivasyonu mali bir amaç değil, hasara yol açmaktır" diyor. "Geçmişte fidye yazılımı kullanan ve motivasyonun finansal olduğunu iddia eden, ancak temel motivasyonun hasar olduğu benzer temizleme amaçlı kötü amaçlı yazılımlar gördük."
