Araştırmacılar Sabit Bir Hata İçin Baypas Buluyor; MSFT Yamaları Yeniden


E-posta Tehdit Koruması, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi

Akamai, Rus Bilgisayar Korsanları Tarafından İstismar Edilen Açıklardan Yararlanmanın Yamalı Yan Adımlar Olduğunu Söyledi

Bay Mihir (MihirBagwe) •
10 Mayıs 2023

Araştırmacılar Sabit Bir Hata İçin Baypas Buluyor;  MSFT Yamaları Yeniden
Görsel: Shutterstock

Güvenlik araştırmacıları, Rus devlet bilgisayar korsanları tarafından kullanılan bir Microsoft Exchange sıfır gün saldırısında yapılacak küçük bir değişikliğin, bilgi işlem devinin Mart ayında tanıttığı bir yamayı atlayabileceğini söylüyor.

Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu

Microsoft, CVE-2023-29324 olarak izlenen değiştirilmiş saldırıyı bu ayın düzeltme dökümü sırasında yamaladı ve hatayı “önemli” olarak derecelendirdi, ancak “kritik” olarak derecelendirmedi.

Hatayı bulan ve ifşa eden Akamai’den araştırmacılar, bunun kritik bir derecelendirmeyi hak ettiğini söylüyor.

Akamai araştırma ekibi Salı öğleden sonra yaptığı açıklamada, “Yamayı atlamak için kullanılabilecek, uzaktan istismar edilebilir, 0 tıklamalı bir güvenlik açığı bulduk. Daha doğrusu, tek bir karakter eklenmesinin yamayı işe yaramaz hale getirdiğini bulduk.” İçerik dağıtım devi, Microsoft’un Mart ayında güncellenen herhangi bir Exchange sunucusunun bir Outlook istemcisinin değiştirilmiş saldırıya düşmesini engelleyeceğini söylediğini söyledi.

Orijinal hata olan CVE-2023-23397, uzaktaki bir saldırganın, hedeflenen kullanıcının karma Windows hesabı parolasını sızdıran ve saldırganın diğer sistemlerde kimlik doğrulaması yapmasına izin veren özel hazırlanmış bir e-posta göndermesine olanak tanıyan bir Microsoft Outlook ayrıcalık yükselmesi güvenlik açığıdır. Tehdit istihbaratı şirketi Mandiant, Mart ayında APT28 olarak bilinen ve Fancy Bear olarak da bilinen Rus GRU bilgisayar korsanlığı grubunun 2022 baharından beri bu güvenlik açığından yararlandığını açıkladı. Hedefler arasında Polonya, Ukrayna, Romanya ve Türkiye (bkz: Microsoft, Rusya’nın İstismar Edilen Sıfır Gününü Düzeltir).).

Orijinal güvenlik açığı, bir saldırgan özel bir bildirim sesi içeren bir hatırlatıcı içeren bir e-posta gönderdiğinde tetiklendi. İstismar, özel sesi evrensel bir adlandırma kuralı yolu olarak belirleyerek çalıştı ve Outlook’un ses dosyasını uzak bir sunucudan almasına neden oldu. Düzeltme eki uygulandıktan sonra, Outlook önce belirtilen yolun bir internet URL’sine başvurmadığını doğrular.

Akamai araştırmacısı Ben Barnea, Outlook’u kandırarak internete işaret eden bir UNC yolunu düzeltmeyi atlayarak yerel bir yolmuş gibi ele almanın bir yolunu bulduğunu söyledi. Bir saldırganın tek yapması gereken, yola ek bir ters eğik çizgi çekmek olduğunu söyledi.

UNC yolları, sunucu veya ana bilgisayar adının ardından gelen iki ters eğik çizgiden oluşan standart bir biçime sahiptir. Microsoft güvenlik özelliği Bir URL’nin yerel bir ağın içine mi yoksa dışına mı işaret ettiğini kontrol eden MapURLtoZone, çift eğik çizgi ‘Akamai.comfile.wav’ olarak gönderilen bir dosya yolunu bir internet URL’si olarak doğru şekilde ele alır. Ancak çift eğik çizgi artı ‘.UNCAkamai.comfile.wav’ MapURLtoZone sıfır yanıtı – yani yerel yol.

Akamai’nin istismarla ilgili yazısında, Microsoft’un Mart ayında güncellenen Exchange sunucularının, teknik olarak bilinen bir özellik olan özel bir ses dosyasını çağırmak için talimatları bıraktığını iddia ettiği not ediliyor. PidLidReminderFileParameter.

Barnea ayrıca, temel nedenin Windows’ta yolların karmaşık bir şekilde işlenmesinden kaynaklandığını da yazdı. Nihai düzeltmenin, “kullanıcılara değer sağladığından daha fazla güvenlik riski oluşturduğu için” özel hatırlatma özelliğini kaldırmak olacağını söyledi.





Source link