Geçtiğimiz günlerde REvil grubu, Kaseya’nın VSA yazılımında bulunan zafiyetleri istismar edip dünyanın en büyük fidye yazılımlarından birine imza atmıştı. ABD merkezli teknoloji firması Kaseya, REvil grubunun sistemlerine sızmak için kullandığı güvenlik açıklarını gidermek için VSA 9.5.7a (9.5.7.2994) güncellemesini yayımladı.
Saldırıda kullanıldığı düşünülen CVE-2021-30116, CVE-2021-30119 ve CVE-2021-30120 için güvenlik güncellemeleri yayımlanırken aynı zamanda Kullanıcı Portalı’nda secure flag kullanılmamasını, parolaların maskelenmemesini ve VSA sunucularına yetkisiz dosya yüklemeye izin veren zafiyetler de Kaseya’nın yayımladığı güvenlik güncellemeleriyle giderildi.
HAZIRLIK REHBERİNİ TAKİP ETMEK GEREKİYOR
Kaseya, güvenlik güncellemelerini yapmadan takip edilmesi gereken işlemleri içeren güncellemelere hazırlık rehberi paylaştı. Söz konusu rehber, cihazlarınızın daha sonra yaşanabilecek ihlallerden veya halihazırda istismar edilip edilmediğinden emin olmak için takip edilmesi gerekiyor.
Tarihin en büyük fidye yazılım saldırısı Kaseya hakkında bilmeniz gereken 5 şey
Firma ayrıca kullanıcılarından, Kaseya VSA Tespit Etme Aracını (Kaseya VSA Detection Tool) kullanmalarını tavsiye ediyor. Söz konusu araç VSA sunucusu veya yönetilen uç noktayı analiz ediyor ve herhangi bir güvenlik ihlali (IoC) göstergesinin mevcut olup olmadığını tespit ediyor.
MICROSOFT PRINTNIGHTMARE ZAFİYETİNİ GİDERDİ
Öte yandan Microsoft ise, geçtiğimiz günlerde Windows Print Spooler hizmetinde ortaya çıkan ve bir süredir aktif olarak istismar edilen PrintNightmare 0-day’ini düzeltmek için güvenlik güncelleştirmelerini yayımladı.
Çeşitli güvenlik zafiyetlerine olanak tanıyan PrintNightmare 0-day’i için Microsoft, aşağıdaki versiyonlara sahip Windows sürümleri için güvenlik güncellemesi yayımladı.
- Windows 10, versiyon 21H1 (KB5004945)
- Windows 10, versiyon 20H2 (KB5004945)
- Windows 10, versiyon 2004 (KB5004945)
- Windows 10, versiyon 1909 (KB5004946)
- Windows 10, versiyon 1809 ve Windows Server 2019 (KB5004947)
- Windows 10, versiyon 1607 ve Windows Server 2016 (KB5004948)
- Windows 10, versiyon 1507 (KB5004950)
- Windows Server 2012 (Monthly Rollup KB5004956 / Security only KB5004960)
- Windows 8.1 ve Windows Server 2012 R2 (Monthly Rollup KB5004954 / Security only KB5004958)
- Windows 7 SP1 ve Windows Server 2008 R2 SP1 (Monthly Rollup KB5004953 / Security only KB5004951)
- Windows Server 2008 SP2 (Monthly Rollup KB5004955 / Security only KB5004959)
PrintNightmare zafiyeti, hem RCE’ye hem de yerel ayrıcalık yükseltmesine olanak sağlıyordu. Siber saldırganlar, hedefledikleri sistemlerde söz konusu zafiyetleri istismar ederek sistem ayrıcalıkları kazanabiliyordu.
Microsoft, güncellemelerin acil olarak yüklenmediği durumlarda Windows Print Spooler hizmetinin inaktif hâle getirilmesini tavsiye ediyor.
