NetSPI, senkronize form nesnelerinin uygunsuz şekilde doğrulanması nedeniyle Microsoft Outlook’un kimliği doğrulanmış uzaktan kod yürütülmesine karşı savunmasız olduğunu keşfetti (CVE-2024-21378).
Saldırganlar, bir yapılandırma dosyasını manipüle ederek otomatik olarak özel bir formu kaydedebilir ve örnekleştirebilir, form sunucusu olarak kötü amaçlı bir yürütülebilir dosya belirleyebilir ve bu sayede Outlook’un hatalı izin listesi mekanizmasını atlatarak hedef sistemde uzaktan kod yürütülmesine olanak tanıyabilir.
İzin verilen listeleme mekanizması, senkronize COM form sunucusu yürütülebilir dosyalarının yetkisiz otomatik yürütülmesini önlemek için form sunucusu kayıt defteri anahtarı özelliğini inceler.
Bu korumaya rağmen, Microsoft belgeleri, izin verilen listeleme doğrulama süreci içindeki hatalı bir eşleştirme algoritması tarafından atlatılan ve yetkisiz yürütmeye izin veren, form sunucusu yürütülebilir örneklendirmesi için bağıl kayıt yollarının kullanılma olasılığını kabul eder.
Göreceli yolları işlerken izin verilen listeleme doğrulama algoritmasında ikili bir hata tespit ettiler.
Öncelikle algoritma, yasaklı kayıt defteri anahtarı değerleri için alt dize algılama yerine hatalı bir şekilde tam eşleştirmeyi kullanır ve bu da yanlış negatif sonuçlara yol açar.
İkinci olarak, örnekleme süreci içindeki farklı bir kontrol akışı, beklenmedik şekilde göreceli kayıt yollarını işler, doğrulamayı atlar ve form sunucusu yürütülebilir dosyasının otomatik kaydını ve yürütülmesini etkinleştirir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Microsoft’un yaması, saldırının ikinci aşamasını önleyerek ve ilgili kayıt defteri yollarının kaydedilmesine izin veren mekanizmayı bloke ederek güvenlik açığını giderdi ve böylece amaçlanan saldırı akışı etkili bir şekilde kesintiye uğradı.
Ancak bu değişikliğe ilişkin resmi bir doküman henüz yayınlanmadı.
.webp)
Morphisec araştırmacıları, CVE-2024-30103’teki izin verilen listeleme kısıtlamalarını aşmak için RegCreateKeyExA işlevini inceledi.
Microsoft belgelerinde ters eğik çizgilerin tuş adlarında yasak olduğu belirtilmesine rağmen, fonksiyon beklenmedik şekilde bunları işliyor.
Bu davranışı ve fonksiyonun kullanıcı profillerine göre kayıt defteri yollarını genişletme yeteneğini anlayarak, araştırmacılar izin verilen listeleme mekanizmasını aşan ve başarılı form sunucusu örneklemesine yol açan değiştirilmiş bir kayıt defteri yolu tasarlayabildiler.
.webp)
Giriş parametreleri işlenirken, işlev her seferinde tutarlı bir şekilde işlemenin yapılmasını sağlamak için tutarlı bir şekilde sondaki ters eğik çizgileri kaldırır.
Ayrıca, ortadaki ters eğik çizgileri hiyerarşik ayırıcılar olarak yorumlar ve 32 seviyeye kadar iç içe geçmiş anahtar yapıları dinamik olarak oluşturur; bu otomatik iç içe geçme mekanizması, fonksiyonun kapsamı içinde veri organizasyonunu ve alma yeteneklerini geliştirir.
.webp)
Kayıt defteri anahtarında geriye doğru eğik çizgi eklenmesi, beklenen anahtarla kasıtlı olarak uyumsuzluk oluşturarak kötü amaçlı yazılımların yürütülmesini engeller.
Ancak kayıt defteri girişi yine de ters eğik çizgi olmadan oluşturuluyor ve Exchange aracılığıyla senkronize edilen kötü amaçlı bir yürütülebilir dosyaya işaret ediyor.
Bu yürütülebilir dosya, iyi tanımlanmış bir AppData klasörüne stratejik olarak yerleştirilir ve belirli bir ileti sınıfıyla ilişkilendirilir.
Bu sınıfa uyan gelen iletiler, form sunucusunun örneklenmesini tetikleyerek kötü amaçlı DLL’yi Outlook işlemine yükler.
Örnekte InprocServer32 kullanılsa da, diğer COM otomatik örnekleme özellikleri harici süreçlerle benzer sonuçlar elde edebilir.
.webp)
Microsoft, sondaki ters eğik çizgileri kaldırdıktan sonra alt anahtarlarda tam eşleştirme yapmak üzere izin verilen listeleme algoritmasını değiştirerek CVE-2024-30103’ü düzeltti ve böylece daha önce yaşanan alt dize eşleştirme açığını giderdi.
Reddetme listesi, alt anahtar manipülasyonunu hedef alan yeni potansiyel istismar tekniklerine karşı koymak için genişletildi; ancak bu önlemlerin etkinliği henüz tam olarak değerlendirilmedi.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download