E-posta Tehdit Koruması, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Akamai, Rus Bilgisayar Korsanları Tarafından İstismar Edilen Açıklardan Yararlanmanın Yamalı Yan Adımlar Olduğunu Söyledi
Bay Mihir (MihirBagwe) •
10 Mayıs 2023
Güvenlik araştırmacıları, Rus devlet bilgisayar korsanları tarafından kullanılan bir Microsoft Exchange sıfır gün saldırısında yapılacak küçük bir değişikliğin, bilgi işlem devinin Mart ayında tanıttığı bir yamayı atlayabileceğini söylüyor.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
Microsoft, CVE-2023-29324 olarak izlenen değiştirilmiş saldırıyı bu ayın düzeltme dökümü sırasında yamaladı ve hatayı “önemli” olarak derecelendirdi, ancak “kritik” olarak derecelendirmedi.
Hatayı bulan ve ifşa eden Akamai’den araştırmacılar, bunun kritik bir derecelendirmeyi hak ettiğini söylüyor.
Akamai araştırma ekibi Salı öğleden sonra yaptığı açıklamada, “Yamayı atlamak için kullanılabilecek, uzaktan istismar edilebilir, 0 tıklamalı bir güvenlik açığı bulduk. Daha doğrusu, tek bir karakter eklenmesinin yamayı işe yaramaz hale getirdiğini bulduk.” İçerik dağıtım devi, Microsoft’un Mart ayında güncellenen herhangi bir Exchange sunucusunun bir Outlook istemcisinin değiştirilmiş saldırıya düşmesini engelleyeceğini söylediğini söyledi.
Orijinal hata olan CVE-2023-23397, uzaktaki bir saldırganın, hedeflenen kullanıcının karma Windows hesabı parolasını sızdıran ve saldırganın diğer sistemlerde kimlik doğrulaması yapmasına izin veren özel hazırlanmış bir e-posta göndermesine olanak tanıyan bir Microsoft Outlook ayrıcalık yükselmesi güvenlik açığıdır. Tehdit istihbaratı şirketi Mandiant, Mart ayında APT28 olarak bilinen ve Fancy Bear olarak da bilinen Rus GRU bilgisayar korsanlığı grubunun 2022 baharından beri bu güvenlik açığından yararlandığını açıkladı. Hedefler arasında Polonya, Ukrayna, Romanya ve Türkiye (bkz: Microsoft, Rusya’nın İstismar Edilen Sıfır Gününü Düzeltir).).
Orijinal güvenlik açığı, bir saldırgan özel bir bildirim sesi içeren bir hatırlatıcı içeren bir e-posta gönderdiğinde tetiklendi. İstismar, özel sesi evrensel bir adlandırma kuralı yolu olarak belirleyerek çalıştı ve Outlook’un ses dosyasını uzak bir sunucudan almasına neden oldu. Düzeltme eki uygulandıktan sonra, Outlook önce belirtilen yolun bir internet URL’sine başvurmadığını doğrular.
Akamai araştırmacısı Ben Barnea, Outlook’u kandırarak internete işaret eden bir UNC yolunu düzeltmeyi atlayarak yerel bir yolmuş gibi ele almanın bir yolunu bulduğunu söyledi. Bir saldırganın tek yapması gereken, yola ek bir ters eğik çizgi çekmek olduğunu söyledi.
UNC yolları, sunucu veya ana bilgisayar adının ardından gelen iki ters eğik çizgiden oluşan standart bir biçime sahiptir. Microsoft güvenlik özelliği MapURLtoZone sıfır yanıtı – yani yerel yol.
Akamai’nin istismarla ilgili yazısında, Microsoft’un Mart ayında güncellenen Exchange sunucularının, teknik olarak bilinen bir özellik olan özel bir ses dosyasını çağırmak için talimatları bıraktığını iddia ettiği not ediliyor. PidLidReminderFileParameter.
Barnea ayrıca, temel nedenin Windows’ta yolların karmaşık bir şekilde işlenmesinden kaynaklandığını da yazdı. Nihai düzeltmenin, “kullanıcılara değer sağladığından daha fazla güvenlik riski oluşturduğu için” özel hatırlatma özelliğini kaldırmak olacağını söyledi.