Morphisec araştırmacıları yakın zamanda Microsoft Outlook’ta CVE-2024-30103 olarak tanımlanan kritik bir güvenlik açığı keşfettiler. Bir e-posta açılır açılmaz kötü amaçlı kod çalıştırabilir.
CVE-2024-30103’ün teknik yönlerini inceleyecek, bu güvenlik açığının nasıl istismar edilebileceğini inceleyecek ve sistemleriniz üzerindeki potansiyel etkisini değerlendireceğiz.
Bu güvenlik açığı, kötü amaçlı olarak Outlook Forms’a enjekte edilen kodlar aracılığıyla uzaktan kod yürütülmesine olanak vererek önemli bir güvenlik tehdidi oluşturuyor.
CVE-2024-30103 Teknik Ayrıntıları
Bu yılın başlarında Netspi, Outlook’u senkronize form nesneleri aracılığıyla kimliği doğrulanmış uzaktan kod yürütmeye maruz bırakan CVE-2024-21378 numaralı ilgili bir güvenlik açığını keşfetti.
Morphisec araştırmacıları, CVE-2024-30103’ü tanımlamak için CVE-2024-21378’in bulgularını kullandılar.
Bu güvenlik açığı, form sunucusu özelliklerini uygun şekilde doğrulamayan izin verilenler listesi mekanizmasındaki bir açığı istismar ederek, senkronize özel formların yetkisiz örneklenmesine olanak sağlıyordu.
Güvenlik açığı, kayıt defteri yollarındaki belirli karakter değişikliklerini ele almayan izin verilen listeleme algoritmasındaki bir kusurdan yararlanıyor.
Araştırmacılar, özel karakterler (örneğin ters eğik çizgiler) kullanılarak kayıt defteri yolunun güvenlik kontrollerini atlatmak ve kötü amaçlı form sunucusu yürütülebilir dosyalarının örneklenmesini tetiklemek için nasıl değiştirilebileceğini gösterdi.
Bu istismarın anahtarı, Windows API işlevi RegCreateKeyExA tarafından kayıt defteri anahtarlarının işlenmesinde yatmaktadır. Bu işlev, anahtar adlarından sondaki ters eğik çizgileri kaldırarak iç içe anahtarların oluşturulmasına olanak tanır. Saldırganlar, bu davranışı istismar ederek, kayıt defteri yollarını kötü amaçlı yürütülebilir dosyalara işaret edecek şekilde değiştirebilir ve bunlar, Outlook’ta özel olarak hazırlanmış bir e-posta açıldığında otomatik olarak örnekleştirilir.
Bu fonksiyon ters eğik çizgileri belirli bir şekilde işler: kayıt defteri anahtarındaki son ters eğik çizgi kaldırılır, yani “InprocServer32\” “InprocServer32” olarak ele alınır. Bu tutarsızlık, algoritma ikisini farklı görürken kayıt defterinin bunları aynı olarak ele alması nedeniyle tam eşleştirme algoritmasını atlatmak için kullanılabilir.
Araştırmacılar, bu davranışın kötü amaçlı bir form sunucusu yürütülebilir dosyasını AppData yerel Forms klasörüne yerleştirerek yüklemek için kullanılabileceğini buldular. Belirli bir mesaj sınıfına sahip bir mesaj bir kurbana gönderildiğinde, form sunucusunun örneklemesini tetikler.
Bu yöntem, Outlook işlemi içerisinde kötü amaçlı bir DLL yükleyebilir veya harici uygulamaları başlatmak için LocalServer32 gibi diğer COM özelliklerini kullanabilir.
Bu güvenlik açığı, saldırganların Outlook uygulaması bağlamında keyfi kod yürütmesine olanak tanır. DLL dosyası gibi kötü amaçlı kodlar yüklenebilir ve yürütülebilir, bu da potansiyel olarak veri ihlallerine, yetkisiz erişime ve diğer kötü amaçlı etkinliklere yol açabilir.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
CVE-2024-30103 – Yama
Microsoft, yakın zamandaki bir güvenlik güncellemesinde, sistem savunmalarını güçlendirmek için izin listesi eşleştirme algoritmasını revize etti. Güncelleme, alt anahtarların eşleştirilme biçimini değiştirerek bir güvenlik açığını giderir.
Algoritma daha önce alt anahtarlar içindeki alt dizeleri arıyordu, ancak şimdi tam bir eşleşme gerçekleştirmeden önce alt anahtardan sondaki ters eğik çizgileri kaldırıyor. Bu değişiklik, potansiyel güvenlik tehditlerine karşı daha sağlam bir çözüm sağlamayı amaçlıyor, ancak uzun vadeli etkinliği henüz görülmedi.
Bu güncellemenin yanı sıra Microsoft, reddetme listesinde de önemli geliştirmeler yaptı. Güncellenen reddetme listesi, alt anahtar manipülasyonunu istismar edebilecek uzaktan kod yürütme saldırılarını önlemek için tasarlanmış yeni teknikler içeriyor.
Bu iyileştirmeler, Microsoft’un güvenlik önlemlerini güçlendirme ve kullanıcıları ortaya çıkan tehditlere karşı koruma konusundaki sürekli kararlılığını göstermektedir.
Yama, acil güvenlik açığını ele alırken, güvenlik tehditlerinin gelişen doğası, kuruluşların uyanık kalması gerektiği anlamına gelir. Olası istismarlara karşı korunmak için düzenli güncellemeler ve güvenlik denetimleri esastır. Kullanıcılara, sistemlerini bu tür güvenlik açıklarına karşı korumak için en son güvenlik yamalarını uygulamaları ve en iyi uygulamaları takip etmeleri önerilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access