Microsoft Outlook’ta (CVE-2025-32705) yeni açıklanan güvenlik açığı, saldırganların bir hafıza yolsuzluğu kusuru yoluyla tehlikeye girmiş sistemlerde keyfi kod yürütmesine izin verir.
7.8 (CVSS v3.1) olarak derecelendirildi ve Önemli Microsoft tarafından, bu sınırsız okuma güvenlik açığı (CWE-125) e-posta istemcilerini minimum kullanıcı etkileşimi gerektiren yerel saldırılara maruz bırakır.
Küresel olarak Outlook’a güvenen 400 milyondan fazla kurumsal kullanıcı ile kusur, yaygın olarak konuşlandırılan üretkenlik yazılımında kalıcı risklerin altını çiziyor.
.png
)
Güvenlik açığı, özel olarak hazırlanmış e -posta içeriğini veya takvim davetiyelerini ayrıştırırken uygunsuz bellek işlemesinden kaynaklanmaktadır.
Bu kusurdan yararlanan saldırganlar, tahsis edilen arabellek sınırlarının ötesinde verileri okuyabilir ve hedef sistemde keyfi kod yürütme için bir ağ geçidi oluşturabilir.
Ağ tabanlı istismarlardan farklı olarak, bu zayıflık AV: L (yerel saldırı vektörü) bağlamı aracılığıyla çalışır ve genellikle kurbanın kötü amaçlı bir dosya veya mesaj açmasını gerektirir.
Microsoft’un CVSS değerlendirmesi kritik metrikleri ortaya çıkarır: düşük saldırı karmaşıklığı (AC: L) hiçbir ayrıcalık olmadan (PR: N) sömürü bariyerini düşürür.
UI: R (kullanıcı etkileşimi gerekli) kısıtlamasına rağmen, başarılı saldırılar teknik etki için zamansal CVSS ölçeğinde tam sistem uzlaşma puanı 9.1 verir (C: H/I: H/A: H).
Güvenlik analistleri, bu güvenlik açığının, otomatik önizleme özelliklerinin açık dosya açılmadan kusuru tetikleyebileceği takvim ve görev yönetimi için Outlook kullanan işletmeleri özellikle tehdit ettiğini belirtiyor.
Sömürü mekanizmasının teknik analizi
Hafıza bozulması, kötü biçimlendirilmiş mime eklerini veya vcalendar bileşenlerini işlerken Outlook’un mesaj oluşturma motorunda meydana gelir.
Manipüle ederek Content-Length Başlık veya büyük boy ICS dosya öğelerini gömme, saldırganlar bitişik bellek bölgelerinin üzerine yazabilir.
Konsept Kanıtı Kodu, dikkatlice yapılandırılmış e-posta gövdelerinin Outlook’un korunan görünümlü görünümlü görünümünü atlayarak, girişli kullanıcı bağlamında kabuk kodunun yürütülmesini sağladığını gösterir.
İstismar zinciri bu anahtar aşamalardan yararlanır:
- Yük dağıtım: Kötü amaçlı takvim davet veya RTF belgesi içeren kimlik avı e -postası.
- Hafıza Yolsuzluğu: Outlook, ekleme meta verilerini yanlış doğrulayarak tampon aşırı okuma oluşturur.
- Kontrol Akışı Kaçak: Hazırlanmış işaretçiler yürütmeyi saldırgan kontrollü kod segmentlerine yönlendirir.
Özellikle, UI: R gereksinimi, saldırganların kullanıcıları tamamen kötü amaçlı içerikten ziyade önizlemeye ikna etmeleri gerektiği anlamına gelir-kimlik bilgisi hasat kampanyalarında giderek daha fazla gözlemlenen bir teknik.
Microsoft’un danışmanlığı, güvenlik açığının, Mayıs 2025 yamalarından önceki en son 2025 yapısına 2019’dan tüm Outlook sürümlerini etkilediğini doğrular.
Azaltma stratejileri ve Microsoft’un yanıtı
Microsoft, 13 Mayıs 2025 Salı günü güvenlik güncellemelerini yayınladı ve Outlook nesne modelindeki gelişmiş bellek sınırı kontrolleri yoluyla güvenlik açığını ele aldı.
Yamaları hemen dağıtamayan işletmeler:
- Otomatik önizleme bölmelerini devre dışı bırakmak için grup ilkesi ayarlarını etkinleştirin.
- Office Insider Slow Channel Build, ön düzeltmeler içeren 14628.20204+ uygulayın.
- Exchange çevrimiçi olarak harici gönderenlerden ICS dosyaları içeren karantina e -postalarına yapılandırın.
Sömürü daha az olası değerlendirmeye rağmen, CERT/CC, güvenlik açığının düşük teknik bariyeri ve yüksek potansiyel etkisi nedeniyle güncellemelere öncelik verilmesini önerir.
Office 365 için Microsoft Defender şimdi düzensiz mime yapılarına sahip e-postaları yüksek risk olarak işaretlerken, ProofPoint ve Mimecast gibi üçüncü taraf satıcılar, sömürü kalıplarını algılamak için e-posta güvenlik ağ geçitlerini güncellediler.
14 Mayıs 2025 itibariyle aktif istismar veya kamu açıklamaları belgelenmemiştir. Bununla birlikte, güvenlik açığının yerelleştirilmiş saldırı vektörü ve Outlook’un Deep OS entegrasyonu, kurumsal güvenlik ekipleri için kritik bir güncelleme olarak durumunu korur.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!