Microsoft tarafından Mayıs 2023 Salı Yaması’nda giderilen güvenlik açıkları arasında, Windows MSHTML platformunda Microsoft’un “önemli” olarak derecelendirdiği bir hata olan CVE-2023-29324 yer alır.
Akamai’nin araştırma ekibi ve kusuru bulmakla tanınan araştırmacı Ben Barnea bu değerlendirmeye katılmıyor çünkü “yeni güvenlik açığı [CVE-2023-29324] kritik bir güvenlik açığından yararlanmayı yeniden etkinleştirir [CVE-2023-23397] vahşi doğada görülen ve APT operatörleri tarafından kullanılan.”
CVE-2023-23397 hakkında
CVE-2023-23397, Microsoft Outlook’ta kullanıcı etkileşimi (“sıfır tıklama” olarak da bilinir) olmadan tetiklenebilen bir EoP hatasıdır.
“Dış saldırganlar, kurbandan saldırganların kontrolündeki güvenilmeyen bir konuma bağlantıya neden olacak özel hazırlanmış e-postalar gönderebilir. Microsoft, Mart 2023’te bir düzeltme sağladığında, bu, kurbanın Net-NTLMv2 karmasını, bir saldırganın başka bir hizmete aktarabileceği ve kurban olarak kimlik doğrulaması yapabileceği güvenilmeyen ağa sızdıracaktır.
İstismarın çalışması için e-postanın kullanıcı tarafından görüntülenmesi veya önizlenmesi gerekmez; yalnızca Outlook istemcisi tarafından alınması ve işlenmesi gerekir.
Güvenlik açığı, Ukraynalı CERT ve Microsoft’un Olay ve Tedavi İstihbarat ekipleri tarafından, özel bir bildirim sesiyle bir hatırlatıcı içeren bir e-posta göndererek bir tehdit aktörü tarafından istismar edildiğini keşfettikten sonra bildirildi.
CVE-2023-29324 hakkında
Öte yandan CVE-2023-29324, Akamai araştırmacılarına göre kritik orijinal Outlook hatasıyla aynı sonuçlara sahip olabilecek bir güvenlik özelliği baypas güvenlik açığı olarak tanımlanıyor.
Bunu, Outlook’taki kod akışını değiştirerek sorunu çözen CVE-2023-23397 yamasını analiz ettiklerinde keşfettiler; internet URL’si ve varsa, özel ses yerine varsayılan hatırlatma sesini kullanır.
Ne yazık ki, belirli bir işlevin UNC yolunun bölgesini nasıl kategorize ettiğini değiştirecek tek bir karakter ekleyerek bu kontrolün (ve dolayısıyla yamanın) kolayca engellenebileceğini de buldular.
“Bu güvenlik açığı, yeni güvenlik açıklarına ve atlamalara yol açan yama incelemesinin bir başka örneğidir” dediler ve Microsoft’un, kullanıcılara sağladığı değerden daha fazla güvenlik riski oluşturduğu için özel hatırlatma sesi özelliğini tamamen kaldıracağını umduklarını söylediler.
“Potansiyel olarak kritik bellek bozulması güvenlik açıkları içerebilecek sıfır tıklamalı bir medya ayrıştırma saldırı yüzeyidir. Windows’un ne kadar her yerde hazır ve nazır olduğu düşünülürse, bu kadar olgunlaşmış bir saldırı yüzeyini ortadan kaldırmanın bazı çok olumlu etkileri olabilir.”
Bu arada, yamalar bu sırayla uygulanarak hem CVE-2023-23397 hem de CVE-2023-29324’ün kötüye kullanılması riski ortadan kaldırılabilir. Daha spesifik bilgiler için Microsoft’un güvenlik tavsiyelerine başvurmalısınız.