Kaspersky araştırmacıları, Windows Yazdırma Biriktiricisindeki (Windows Print Spooler) çok sayıda güvenlik açığından yararlanan hücumların sayısının son dört ayda gözle görülür halde arttığını ortaya çıkardı. Microsoft yazdırma sürecini yöneten yazılım olan Yazdırma Biriktiricisi için tertipli olarak yamalar yayınlasa da siber hatalılar güvenlik açıklarından etkin olarak yararlanmaya devam ediyor. Bu onlara kurbanların bilgisayarlarına makus gayeli programlar dağıtma ve yükleme fırsatı veriyor. Türkiye, dünyada bu açığın en çok istismar edildiği ikinci ülke pozisyonunda.
Geçen yıl boyunca Windows Yazdırma Biriktiricisinde çeşitli güvenlik açıkları keşfedildi. Siber hatalılar, bunları berbata kullanarak yönetici erişimi olmasa bile sunucuların ve makinelerin denetimini ele geçirebiliyorlar.
En uygun bilinen güvenlik açıkları, Haziran 2021’in sonlarında keşfedilen CVE-2021-1675 ve CVE-2021-34527 biçiminde isimlendiriliyor. (Diğer ismiyle PrintNightmare). PrintNightmare, kritik bir Windows kavramsal açık delili (PoC) olarak araştırmacılar tarafından kazara yayınlanmıştı. İstismar GitHub’dan süratle kaldırılsa da kullanıcılar bunu indirmeyi başardı ve yine yayınladı. Nisan 2022’nin sonlarında, Windows Yazdırma Biriktiricisinde epeyce önemli bir öteki güvenlik açığı daha (CVE-2022-22718) keşfedildi. Microsoft bu tehdide karşı zati bir yama yayınlamıştı. Lakin saldırganlar hala bu güvenlik açığından yararlanabiliyor ve kurumsal kaynaklara erişebiliyor.
Kaspersky araştırmacıları, siber hatalıların Temmuz 2021 ile Nisan 2022 ortasında bu maksatlara yaklaşık 65 bin akın gerçekleştirdiğini keşfetti. Ayrıyeten Kaspersky uzmanları, bu atakların yaklaşık 31 bininin Ocak ile Nisan ortasındaki son dört ayda gerçekleştiğini tespit etti. Bu, Windows Yazdırma Biriktiricisindeki güvenlik açıklarının siber hatalılar için tanınan bir akın yolu olmaya devam ettiğini ve kullanıcıların Microsoft’un yayınladığı tüm yamalardan ve düzeltmelerden haberdar olması gerektiği manasına geliyor.
Windows Yazdırma Biriktiricisindeki güvenlik açıklarının istismarı çok sayıda ülkeyi vurdu. Temmuz 2021’den Nisan 2022’ye kadar tespit edilen hadiselerin yaklaşık dörtte biri İtalya’dan geldi. İtalya’dan sonra en etkin taarruz Türkiye ve Güney Kore’deki kullanıcılara yönelik oldu. Kaspersky araştırmacıları ayrıyeten son dört ayda saldırganların Avusturya, Fransa ve Slovenya’da çok etkin olduğunu keşfetti.
Kaspersky Güvenlik Araştırmacısı Alexey Kulaev şunları söyledi: “Windows Yazdırma Biriktiricisi güvenlik açıkları, ortaya çıkan yeni tehditler için bir yuva misyonu görüyor. Fidye yazılımı bulaştırılması ve data hırsızlığı riskinin yüksek olduğu, kurumsal ağlardaki kaynaklara erişim elde etmek için bu odaklara artan sayıda istismar teşebbüsü bekliyoruz. Bu güvenlik açıklarından kimileri aracılığıyla saldırganlar sadece kurbanların bilgilerine değil, tıpkı vakitte tüm kurumsal sunuculara da erişebilir. Bu nedenle kullanıcıların Microsoft’un yönergelerini izlemelerini ve en son Windows güvenlik güncellemelerini uygulamalarını tavsiye ediyoruz.“
Kaspersky, Windows Yazdırma Biriktiricisindeki güvenlik açıkları aracılığıyla siber hatalıların hücumlarından korunmak için şunları öneriyor:
- Yeni güvenlik açıkları için yamalar en kısa müddette yüklenmelidir. Böylelikle tehdit odakları kelam konusu güvenlik açığını berbata kullanamaz.
- Eksiklikleri ve savunmasız sistemleri ortaya çıkarmak için kuruluşların BT altyapısında tertipli güvenlik kontrolleri gerçekleştirilmelidir.
- Kimlik avı teşebbüsleri yoluyla bulaşma mümkünlüğünü azaltmak için uç noktalar ve posta sunucularında kimlik avına karşı muhafaza özelliklerine sahip bir müdafaa tahlili kullanılmalıdır.
- Yüksek profilli taarruzlara karşı savaşmaya yardımcı olabilecek özel hizmetlerden faydalanılmalıdır. Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan evvel akınları erken evrelerinde belirlemeye ve durdurmaya yardımcı olur.
- Anti-APT ve EDR tahlillerinin kurulması, tehditlerin keşfedilmesi ve tespit edilmesinin yanı sıra olayların yeteneklerinin araştırılmasını ve vaktinde düzeltilmesini sağlar. SOC takımlarına en son tehdit istihbaratına erişim sağlanmalı ve profesyonel eğitimlerle sistemli olarak marifetleri yükseltilmelidir. Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
Kaynak: (BHA) – Beyaz Haber Ajansı