Microsoft Outlook’ta yakın zamanda keşfedilen ve CVE-2024-30103 olarak adlandırılan bir güvenlik açığı, kullanıcıları uzaktan kod yürütme (RCE) saldırılarına maruz bırakıyor ve potansiyel olarak saldırganlara etkilenen sistemler üzerinde tam kontrol sağlıyor.
Kusur, Morphisec Threat Labs araştırmacıları Michael Gorelik ve Shmuel Uzan tarafından Nisan 2024’te tespit edildi.
CVE-2024-30103 istismarı, geçerli MS Exchange kullanıcı kimlik bilgilerine sahip olan saldırganların, açıldığında istismarı tetikleyen ve rastgele kod çalıştıran özel olarak tasarlanmış bir e-posta göndermesini içerir.
Onu özellikle tehlikeli yapan şey, sıfır tıklama özelliğidir. Kullanıcı etkileşimi gerektiren geleneksel kimlik avı girişimlerinden farklı olarak, bu güvenlik açığından yalnızca kötü amaçlı bir e-posta açılarak yararlanılabilir. Bu, şüphelenmeyen kullanıcıların sistemlerinin tehlikeye girmesi için kötü amaçlı bir bağlantıya veya eke tıklamalarına bile gerek kalmadığından, saldırı yüzeyini önemli ölçüde artırır.
Bu kusur “çoğu” MS Outlook istemcisini etkiliyor ve kullanıcıdan kullanıcıya yayılıyor.
“Bu Microsoft Outlook güvenlik açığı kullanıcıdan kullanıcıya yayılabilir ve yürütülmesi için bir tıklama gerektirmez. Bunun yerine, etkilenen bir e-posta açıldığında yürütme başlatılır. Bu, Microsoft Outlook’un otomatik e-posta açma özelliğini kullanan hesaplar için özellikle tehlikelidir.” Morphisec’in Salı günü yayınlanmadan önce Hackead.com ile paylaştığı araştırmasını okuyun.
Morphisec’in analizi, güvenlik açığının Microsoft Outlook’un belirli e-posta bileşenlerini işlemesinden kaynaklandığını ortaya koyuyor ve Microsoft, kullanıcıların ekleri indirmesine gerek kalmadan e-posta içeriğini görüntüleyen bir özellik olan Önizleme Bölmesi’nin potansiyel bir saldırı vektörü olduğunu doğruladı. Bu e-posta açıldığında, arabellek taşmasını tetikleyerek saldırganın, Outlook’u çalıştıran kullanıcıyla aynı ayrıcalıklarla kod yürütmesine olanak tanır.
Bu, saldırganların Outlook kayıt defteri engelleme listelerini atlamasına ve kötü amaçlı DLL dosyalarının oluşturulmasına izin vererek sistemin tehlikeye atılmasına, veri hırsızlığına veya kötü amaçlı yazılımın daha fazla yayılmasına yol açabilir. Bu dosyalar DLL kaçırmak için kullanılabilir ve potansiyel bir risk oluşturabilir. Kullanıcı etkileşiminin olmaması ve basit yapısı, saldırganların ilk erişim için bu güvenlik açığından yararlanmasını kolaylaştırıyor.
İyi haber şu ki, Microsoft bu güvenlik açığını Haziran Salı Yaması’nda düzeltti ve kuruluşların kötüye kullanımı önlemek için MS Outlook istemcilerini derhal güncellemeleri önerilir.
Morphisec, Las Vegas’taki DEFCON 32 konferansında CVE-2024-30103’ün teknik ayrıntılarını ve POC’sini açıklayacak.
İLGİLİ KONULAR
- Microsoft Office’te 0 Günlük 7 Yaşındaki Çocuk Kobalt Saldırısını Düşürdü
- Microsoft Oturum Açma İşlemleri İçin Nespresso Etki Alanı Kimlik Avı Saldırısında Saldırıya Uğradı
- Microsoft, Özellik Kötü Amaçlı Yazılım Amaçlı Kötüye Kullanıldıktan Sonra Uygulama Yükleyiciyi Devre Dışı Bırakıyor
- Rus Midnight Blizzard Hackerları Microsoft Kaynak Kodunu İhlal Etti
- Microsoft Teams, DarkGate Kötü Amaçlı Yazılımını Yaymak İçin Harici Erişim Suiistimallerini Gerçekleştiriyor