Hüseyin
Üye
- Katılım
- 21 Ocak 2024
- Mesajlar
- 180
- Tepkime puanı
- 49
- Puanları
- 28
Microsoft'un Windows Server Update Services (WSUS) hizmetinde geçtiğimiz ay kapatılan kritik bir güvenlik açığı, tehdit aktörleri tarafından aktif olarak kullanılmaya başlandı.
AhnLab Security Intelligence Center (ASEC) tarafından yayınlanan ve The Hacker News tarafından servis edilen son rapora göre, saldırganlar bu açığı kullanarak hedef sunucularda tam yetki elde ediyor ve tespit edilmesi zor olan "ShadowPad" zararlısını sistemlere yerleştiriyor.
Güvenlik Açığı ve Saldırı Detayları
Söz konusu zafiyet, CVE-2025-59287 koduyla takip edilmektedir. Bu, WSUS üzerinde bulunan kritik bir "deserialization" (nesne serileştirme) hatasıdır. Microsoft bu açığı geçtiğimiz ay yamalamış olsa da, güncellenmemiş sunucular büyük risk altındadır. Bu açık, saldırganların "System" yetkileriyle uzaktan kod yürütmesine (RCE) olanak tanımaktadır.
Saldırı Zinciri (Kill Chain) Nasıl İşliyor?
Güvenlik araştırmacıları saldırı adımlarını şu şekilde detaylandırmıştır:
ShadowPad Zararlısı Nedir?
ShadowPad, siber güvenlik dünyasında kötü şöhrete sahip modüler bir arka kapı (backdoor) yazılımıdır. 2015 yılından beri varlığını sürdüren bu zararlı, genellikle Çin devlet destekli casusluk grupları (APT) ile ilişkilendirilmektedir. Ünlü PlugX zararlısının halefi olarak kabul edilir.
Modüler yapısı sayesinde saldırganlar, sisteme sızdıktan sonra ihtiyaç duydukları ek özellikleri (klavye dinleme, veri sızdırma vb.) sonradan yükleyebilmektedir.
Teknik Göstergeler (IOC)
Saldırıyı analiz eden uzmanlar, zararlının iletişim kurduğu komuta kontrol sunucusunu (C2) tespit etmiştir. Sistemlerinizdeki loglarda şu bağlantıyı kontrol etmeniz önerilir:
Sonuç ve Öneriler
Bu güvenlik açığı için kavram kanıtlama (PoC) kodları halka açık hale geldiğinden, saldırıların sıklığının artması beklenmektedir. WSUS sunucusu yönetenlerin acilen Microsoft'un yayınladığı güncellemeleri geçmeleri ve sunucularının internete doğrudan açık olup olmadığını kontrol etmeleri gerekmektedir.
AhnLab Security Intelligence Center (ASEC) tarafından yayınlanan ve The Hacker News tarafından servis edilen son rapora göre, saldırganlar bu açığı kullanarak hedef sunucularda tam yetki elde ediyor ve tespit edilmesi zor olan "ShadowPad" zararlısını sistemlere yerleştiriyor.
Güvenlik Açığı ve Saldırı Detayları
Söz konusu zafiyet, CVE-2025-59287 koduyla takip edilmektedir. Bu, WSUS üzerinde bulunan kritik bir "deserialization" (nesne serileştirme) hatasıdır. Microsoft bu açığı geçtiğimiz ay yamalamış olsa da, güncellenmemiş sunucular büyük risk altındadır. Bu açık, saldırganların "System" yetkileriyle uzaktan kod yürütmesine (RCE) olanak tanımaktadır.
Saldırı Zinciri (Kill Chain) Nasıl İşliyor?
Güvenlik araştırmacıları saldırı adımlarını şu şekilde detaylandırmıştır:
- [] İlk Erişim: Saldırganlar internete açık ve yamalanmamış WSUS sunucularını tarayarak CVE-2025-59287 açığını tetikliyor.
- [] Shell Erişimi: İlk sızma işleminin ardından, PowerShell tabanlı açık kaynaklı bir Netcat aracı olan "PowerCat" kullanılarak saldırganın sunucu üzerinde komut satırı (CMD) erişimi sağlanıyor.
- [] Zararlı Yükleme (Living off the Land): Saldırganlar, güvenlik duvarlarını ve antivirüsleri atlatmak adına Windows'un kendi meşru araçlarını ("LoLBins") kullanıyor. Rapora göre curl.exe ve certutil.exe araçları kullanılarak ShadowPad zararlısı sunucuya indiriliyor.
- [] Kalıcılık ve Çalıştırma (DLL Side-loading): ShadowPad'in çalıştırılması için oldukça sinsi bir yöntem olan DLL Side-loading tekniği kullanılıyor. Saldırganlar meşru bir dosya olan "ETDCtrlHelper.exe"yi çalıştırıyor; ancak bu dosya, saldırganın yerleştirdiği zararlı "ETDApix.dll" kütüphanesini hafızaya yükleyerek arka kapıyı aktif hale getiriyor.
ShadowPad Zararlısı Nedir?
ShadowPad, siber güvenlik dünyasında kötü şöhrete sahip modüler bir arka kapı (backdoor) yazılımıdır. 2015 yılından beri varlığını sürdüren bu zararlı, genellikle Çin devlet destekli casusluk grupları (APT) ile ilişkilendirilmektedir. Ünlü PlugX zararlısının halefi olarak kabul edilir.
Modüler yapısı sayesinde saldırganlar, sisteme sızdıktan sonra ihtiyaç duydukları ek özellikleri (klavye dinleme, veri sızdırma vb.) sonradan yükleyebilmektedir.
Teknik Göstergeler (IOC)
Saldırıyı analiz eden uzmanlar, zararlının iletişim kurduğu komuta kontrol sunucusunu (C2) tespit etmiştir. Sistemlerinizdeki loglarda şu bağlantıyı kontrol etmeniz önerilir:
Kod:
C2 Sunucusu: 149.28.78[.]189Port: 42306Kullanılan Araçlar: PowerCat, certutil.exe, curl.exeHedef Dosyalar: ETDCtrlHelper.exe (Meşru), ETDApix.dll (Zararlı)Sonuç ve Öneriler
Bu güvenlik açığı için kavram kanıtlama (PoC) kodları halka açık hale geldiğinden, saldırıların sıklığının artması beklenmektedir. WSUS sunucusu yönetenlerin acilen Microsoft'un yayınladığı güncellemeleri geçmeleri ve sunucularının internete doğrudan açık olup olmadığını kontrol etmeleri gerekmektedir.