Microsoft Word’de uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığı olan CVE-2023-21716 için bir kavram kanıtı hafta sonu yayınlandı.
Güvenlik açığına 10 üzerinden 9,8 önem derecesi verildi ve Microsoft, Şubat Yaması Salı güvenlik güncellemelerinde birkaç geçici çözümle birlikte bu sorunu ele aldı.
Önem derecesi puanı, temel olarak düşük saldırı karmaşıklığı ile ayrıcalıkların olmaması ve bundan yararlanmak için gereken kullanıcı etkileşimi tarafından verilir.
Tweet boyutunda PoC
Güvenlik araştırmacısı Joshua Drake geçen yıl Microsoft Office’in “wwlib.dll” dosyasındaki güvenlik açığını keşfetti ve Microsoft’a sorunun kötüye kullanılabileceğini gösteren kavram kanıtı (PoC) kodu içeren bir teknik danışma belgesi gönderdi.
Uzaktaki bir saldırgan, kötü niyetli bir .RTF belgesini açan kurbanla aynı ayrıcalıklara sahip kod yürütmek için potansiyel olarak bu sorundan yararlanabilir.
Pek çok başka yöntem olmasına rağmen, kötü amaçlı dosyayı bir kurbana teslim etmek, bir e-postanın eki kadar kolay olabilir.
Microsoft, kullanıcıların kötü niyetli bir RTF belgesini açmaları gerekmediği ve uzlaşmanın başlaması için dosyayı Önizleme Bölmesine yüklemenin yeterli olduğu konusunda uyarıyor.
Araştırmacı, Microsoft Word’deki RTF ayrıştırıcısının “çok fazla sayıda yazı tipi (*\f###*) içeren bir yazı tipi tablosuyla (*\fonttbl*) uğraşırken” tetiklenen bir yığın bozulması güvenlik açığına sahip olduğunu açıklıyor.
Drake, bellek bozulması meydana geldikten sonra ek işleme olduğunu ve bir tehdit aktörünün “uygun şekilde hazırlanmış bir yığın düzeni” kullanarak rasgele kod yürütme için hatadan yararlanabileceğini söylüyor.
Araştırmacının PoC’si, yığın bozulması sorununu gösteriyor, ancak kod yürütmeyi göstermek için Windows’ta Hesap Makinesi uygulamasını başlatmaya yetmiyor.
Başlangıçta, PoC’de yorumlar da dahil olmak üzere bir düzineden biraz fazla satır vardı. Raporun Kasım 2022’de Microsoft’a gönderilmesinden bu yana, araştırmacı bazı satırları kısalttı ve her şeyi bir tweet’e sığdırmayı başardı:
Şu anda, güvenlik açığından vahşi bir şekilde yararlanıldığına dair bir gösterge yok ve Microsoft’un şu anki değerlendirmesi, sorundan yararlanmanın “daha az olası” olduğu yönünde.
Bunun gibi kritik güvenlik açıkları, tehdit aktörlerinin dikkatini çekiyor ve daha gelişmiş olanlar düzeltmeyi tersine çevirmek için bir yol bulmaya çalışıyor.
Tipik olarak, açıktan yararlanma kodu kullanıma sunulduğunda, bir PoC’yi değiştirmek için sıfırdan bir açıktan yararlanma oluşturmaktan daha az çaba gerektiğinden, daha büyük bir saldırgan havuzu bu güvenlik açığını kullanmaya başlar.
Joshua Drake’in mevcut PoC’sinin tam gelişmiş bir istismara silah haline getirilip getirilemeyeceği belli değil çünkü sadece istismarın kanıtlanmadan mümkün olduğunu gösteriyor.
Bununla birlikte, Microsoft Word’de bu uzaktan kod yürütme çok arzu edilir ve kötü amaçlı yazılımın e-posta yoluyla geniş ölçekli dağıtımına izin verir.
Microsoft Excel Denklem Düzenleyicisi’ndeki benzer bir güvenlik açığı uzun süredir yamalanmıştır ve bugün hala bazı kampanyalarda kullanılmaktadır.
Geçici çözümler geri tepebilir
Güvenlik açığından etkilenen Microsoft Office ürünlerinin tam listesi, satıcının CVE-2023-21716 danışma belgesinde mevcuttur.
Düzeltmeyi uygulayamayan kullanıcılar için Microsoft, e-postaları düz metin biçiminde okumanızı önerir; bu, ortaya çıkan rahatsızlıklar (resim eksikliği ve zengin içerik) nedeniyle benimsenmesi olası olmayan bir şeydir.
Başka bir geçici çözüm, Office uygulamalarının kaynağı bilinmeyen veya güvenilmeyen RTF belgelerini açmasını önleyen Microsoft Office Dosya Engelleme ilkesini etkinleştirmektir.
Bu yöntem, Windows Kayıt Defterinin değiştirilmesini gerektirir ve ayrıca bir uyarı ile birlikte gelir: “Kayıt Defteri Düzenleyicisi’ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz.”
Ek olarak, bir “muaf dizin” ayarlanmamışsa, kullanıcılar herhangi bir RTF belgesini açamama riskiyle karşı karşıya kalır.
Açıklardan tam olarak yararlanma şu anda kullanılamıyor ve yalnızca teorik olsa bile, Microsoft’tan güvenlik güncelleştirmesini yüklemek, güvenlik açığıyla başa çıkmanın en güvenli yolu olmaya devam ediyor.