Siber güvenlik firması TrustedSec, Specula adlı güçlü bir yeni aracı tanıttı. Microsoft Outlook’taki uzun süredir var olan bir güvenlik açığını kullanarak onu bir Komuta ve Kontrol (C2) sunucusuna dönüştürüyor.
Bu ifşa, siber güvenlik camiasında şok etkisi yarattı ve birçok kurumsal ağdaki kalıcı bir zayıf noktayı gözler önüne serdi.
Spekula Çerçevesi
Specula, Outlook’un davranışını değiştirmek için görünüşte zararsız bir Kayıt Defteri değişikliğinden yararlanarak bir işaret C2 aracısı haline gelir. Bu teknik geçmişte bildirilmiş olsa da, birçok kuruluş bunu göz ardı etmeye devam ediyor.
TrustedSec’in Specula’yı yayınlamasının amacı, bu güvenlik açığına daha fazla dikkat çekmek ve güçlü önlemlerin geliştirilmesini teşvik etmektir.
Outlook ana sayfa özelliğinin istismar edilebildiği ilk olarak CVE-2017-11774 kapsamında raporlanmıştı.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Microsoft, özel bir ana sayfa ayarlamak için kullanıcı arayüzü öğelerini kaldıran yamalar yayınlasa da, temeldeki Kayıt Defteri değerleri işlevselliğini korudu.
Bu gözetim, saldırganların Kayıt Defteri anahtarları aracılığıyla özel bir ana sayfa belirlemesine ve Outlook içinde kötü amaçlı komut dosyalarının yürütülmesine olanak tanır.
Belirli kayıt defteri anahtarları aracılığıyla özel bir ana sayfa ayarlandığında, Outlook standart posta kutusu öğeleri yerine bir HTML sayfası indirir ve görüntüler.
Bu HTML sayfası ayrıcalıklı bir bağlamda VBScript veya JScript çalıştırabilir ve saldırganlara yerel sistem üzerinde önemli bir kontrol sağlayabilir. Specula bu süreci otomatikleştirerek manuel müdahale olmadan sürekli komut yürütülmesine olanak tanır.
Ana Sayfa Saldırılarını Önleme
Bu tehdidi azaltmak için TrustedSec birkaç önlem öneriyor:
- Yeni Bakış Açısını Benimseyin: Yeni sürüm paketlenmiş bir web sayfası olarak çalışıyor, COM uzantılarıyla uyumlu değil ve istismar vektörünü etkili bir şekilde ortadan kaldırıyor.
- VBScript’i devre dışı bırak:Windows 11’in gelecekteki sürümleri VBScript motorunun kaldırılmasına izin verecek ve bu saldırı vektörünü felç edecek.
- Grup İlkesi Nesnesi (GPO) Kullan: WebView’ı devre dışı bırakmak ve kullanıcıların özel ana sayfalar ayarlamasını önlemek için GPO’yu yapılandırın.
- Microsoft Güvenlik Uyumluluk Araç Setinden yararlanın: Bu araç seti Outlook’un web motorunu kilitleyerek komut dosyasının yürütülmesini engelleyebilir.
Ana Sayfa Saldırılarını Algılama
Kuruluşlar, Outlook’un WebView özelliğiyle ilgili belirli anahtarlar altında URL değerleri için Kayıt Defterini izlemelidir. Bu anahtarlar şunları içerir:
- HKCU\Yazılım\Microsoft\Office\16.0\Outlook\WebView\Gelen Kutusu
- HKCU\Yazılım\Microsoft\Office\16.0\Outlook\WebView\Takvim
- HKCU\Yazılım\Microsoft\Office\16.0\Outlook\WebView\Kişiler
- Diğer Outlook sürümleri ve klasörleri için de benzer anahtarlar.
TrustedSec’in Specula’yı yayınlaması siber güvenlikte dikkatli olmanın önemini vurguluyor.
Araç, olası riskleri güçlü bir şekilde hatırlatırken, aynı zamanda kuruluşları bu tür güvenlik açıklarına karşı savunmalarını gözden geçirmeye ve güçlendirmeye çağırıyor.
Siber güvenlik alanı gelişmeye devam ederken, hassas bilgileri korumak ve ağ bütünlüğünü korumak için bilgili ve proaktif kalmak hayati önem taşımaktadır.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access