CVE-2023-36884 ve CVE-2023-36584’ün kötüye kullanılmasını içeren yeni bir saldırı zinciri kampanyası keşfedildi. CVE-2023-36884 bir uzaktan kod yürütme güvenlik açığıydı ve CVE-2023-36584, CVE-2023-36884’ten yararlanmak için kullanılabilecek bir güvenlik atlama güvenlik açığıydı.
CVE-2023-36884’e 8,8 (Yüksek) önem derecesi verildi ve CVE-2023-36584’ün şiddet derecesi 5,4 (Orta) oldu. Ancak istismar zincirine atfedilen tehdit aktörü, Storm-0978, diğer adıyla RomCom Grubu olarak bilinen Rusya yanlısı bir APT grubuydu.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Windows Arama RCE Kusur
İlk saldırı zincirinin bir parçası olarak, MotW (Web İşareti) olarak etiketlenmemiş bir .docx dosyası bulundu ve bu dosya, belge açılırken “korumalı görünümün” devre dışı bırakılmasına yol açtı.
MS-DOCX dosyası, word/document.xml adresindeki bir XML dosyasından oluşan ve belgenin metni ve biçimlendirmesinden oluşan sıkıştırılmış bir ZIP arşiv dosyasıdır.
Ancak document.xml dosyası, bir RTF içeriğini içe aktaran, içe aktarılan harici içerik öğesi altchunk için bir bağlantıdan oluşur. Bu RTF dosyası afchunk.rtf, iki kötü amaçlı Nesne Bağlama ve Katıştırma (OLE) nesnesi içerir.
İstismar Zincirinin İlk Aşaması
afchunk.rtf dosyasındaki kötü amaçlı OLE nesneleri iki URL’den içerik ister;
- \\104.234.239[.]26\share1\MSHTML_C7\file001.url
- hxxp://74.50.94[.]156/MSHTML_C7/start.xml
Kurban ana bilgisayar \\104.234.239’a erişiyorsa[.]26\share1\MSHTML_C7\file001.url, kurbanın ana makine adını ve kullanıcı adını içeren NTLM kimlik bilgileri, tehdit aktörü tarafından kontrol edilen SMB sunucusuna sızdırıldı. Ancak URL’ler iki dosya sunar: file001.url ve file001.htm.
Windows Arama İşleyicisini Kötüye Kullanma
File001.htm, birden fazla dosyayı yüklemek için iframe’leri kullanan bir JS’ye sahiptir. İlk dosya adı, kurbanın IP adresinden ve file001.search-ms ile biten beş basamaklı beş tanımlayıcıdan oluşur. Bunu takiben URL’lerde .zip_k* dizesini kullanan üç HTTP isteği gerçekleştirilir.
Yeni MotW Baypası – CVE-2023-36584
Windows arama, içeriğini belirlemek için her dosyanın uzantılarını tarar. İnternet dosyalarını bulduğunda dosyayı geçici bir dizine yazar ve MotW’u ona ekler. Bu operasyonun MitW’yi atlatmak için kullanılabilecek bir yarış durumu var.
Sunucu Tarafı ZIP Takası (Meta Veri TOCTOU), Sunucu Tarafı Gecikmesi (Kapatma İşlemi) ve Sunucu Tarafı Gecikmesi (Okuma İşlemi) ile ilgili üç teknik vardı.
Bu teknik, ZIP arşivi uzak bir sunucudan indirildiğinde kullanılabilir. zipfldr.dll dosyası, ZIP dosyasının başlığını okur ve verileri bellekte önbelleğe alır.
Dosya başlığı okunduktan sonra, MotW’lu ZIP, dosyaya MotW atlanarak TOCTOU koşulu kullanılarak meşru bir dosya adıyla değiştirilebilir.
Sunucu Tarafı Gecikmesi – İşlemi Kapatma
Bu teknik Bölge ile ilişkilidir. Bir SMB sunucusu kullanılarak zaman gecikmesiyle sağlanabilen Tanımlayıcı ADS. Bu teknik, SMB2 protokolünün bir kapatma isteği ve bir kapatma yanıtı içeren kapatma işlemi nedeniyle mümkün olmuştur.
Sunucu Tarafı Gecikmesi – Okuma İşlemi
Windows, uzak bir paylaşımdaki büyük dosyaların bir kısmını okur. Dosyanın sonunda rastgele veriler varsa, Windows MotW’yi dosyaya eklemeden önce dosyanın SMB sunucusundan yazılması gecikebilir.
Dosya, okuma/yazma dwShareMode ile açıldığından yazma işlemi sırasında kullanılabilir.
Saldırı zinciriyle ilgili, istismar teknikleri, operasyon yöntemleri ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Palo Alto tarafından eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
Okuyun: SHA256 karma – Dosya adı
- a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f – Summary_of_UWCs_UkraineInNATO_campaign.docx
- 0896e7c5433b2d426a30a43e7f4ef351fa870be8bd336952a0655392f8f8052d – word/document.xml
- b5731baa7920b4649add429fc4a025142ce6a1e1adacb45850470ca4562d5e37 – word/_rels/document.xml.rels
- e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539 – afchunk.rtf
- 3d0dae359325e8e96cf46459c38d086279865457379bd6380523727db350de43 – file001.url
- 48142dc7fe28a5d8a849fff11cb8206912e8382314a2f05e72abad0978b27e90 – start.xml
- bfe3ebcc92a4a7d294b63ce0d7eba6313980d982709a27b337abe32651b63856 – file001.zip
- c94e2bfd4e2241fed42113049c84ac333fcff340cc202afe8926f8e885d5fca3 – 2222.chm
- f08cc922c5dab73f6a2534f8ceec8525604814ae7541688b7f65ac9924ace855 – 1111.htm
- cdc39ce48f8f587c536450a3bd0feb58bf40b59b310569797c1c9ae8d28b2914 – RFfile.asp
- fd4fd44ff26e84ce6587413271cf7ff3960471a55eb0d51b0a9870b577d66f4a – file001.htm
- 4fc768476ee92230db5dbc4d8cbca49a71f8433542e62e093c3ad160f699c98d – redir_obj.htm
- 0adb2734a1ca0ccaf27d8a46c08b2fd1e19cb1fbd3fea6d8307851c691011f0f – dosya1.htm
- 7a1494839927c20a4b27be19041f2a2c2845600691aa9a2032518b81463f83be – dosya1.mht
- 20f58bd5381509072e46ad79e859fb198335dcd49c2cb738bd76f1d37d24c0a7 – dosyaH.htm
- ee46f8c9769858aad6fa02466c867d7341ebe8a59c21e06e9e034048013bf65a – dosyaH.mht
- c187aa84f92e4cb5b2d9714b35f5b892fa14fec52f2963f72b83c0b2d259449d – ex001.url
Bu araştırmada atıfta bulunulan aşağıdaki ağ yolları Temmuz 2023 yemiyle ilişkilidir:
- \\104.234.239[.]26\share1\MSHTML_C7\file001.url
- \\104.234.239[.]26\share1\MSHTML_C7\ex001.url
- dosya[:]//104.234.239[.]26/paylaşım1/MSHTML_C7/1/
- dosya[:]//104.234.239[.]26/share1/MSHTML_C7/ex001.zip/file001.vbs
- hxxp://74.50.94[.]156/MSHTML_C7/start.xml
- hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=
- hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=
- hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=
- hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.