Yakın zamanda CVE-2023-21716 için bu güvenlik açığını analiz eden bir kavram kanıtı yayınlandı. Bu güvenlik açığı “Kritik” olarak işaretlendi ve uzaktan kod yürütülmesine (RCE) izin veren Microsoft Word’de tespit edildi.
Microsoft’un Şubat ayındaki en son Salı Yaması sürümü, güvenlik açığını yamalayarak istismar edilmesini engelledi. Microsoft Office’in ‘wwlib.dll’ dosyasında, bu RCE kusuru ilk olarak geçen yıl bir güvenlik analisti olan Joshua Drake tarafından keşfedildi.
Araştırmacı, güvenlik açığından yararlanılabileceğini gösteren bir PoC içeren bir teknik danışma belgesi gönderdikten sonra keşfini Microsoft’a hemen bildirdi.
Güvenlik açığı, uzaktaki bir saldırgan tarafından güvenliği ihlal edilmiş bir sistemde kod yürütmek için potansiyel olarak kullanılabilir.
Güvenlik Açığı Ayrıntıları
- CVE Kimliği: CVE-2023-21716
- CVSS Puanı: 9.8
- Önem Derecesi: Kritik
- Kusur: Uzaktan Kod Yürütme (RCE)
Uzaktaki bir saldırgan, kod yürütmek için potansiyel olarak sorundan yararlanabilir. Sonuç olarak, saldırgan, kötü amaçlı dosyayı açan kurbanla aynı izinlere sahiptir. [.RTF] aynı ayrıcalıklara sahip dosya.
Kötü amaçlı bir dosya, bir kurbana, onu teslim etmenin belki de en kolay yolu olan bir e-postaya eklenerek teslim edilebilir, ancak başka birçok yöntem de mevcuttur.
Microsoft, kullanıcıların bu tür bir saldırıya kurban gitmesini önlemek amacıyla kötü niyetli RTF belgesini açmaları gerekmediği konusunda uyarıyor. Saldırgan, yalnızca Önizleme Bölmesinde sistemin bir sürümünü yükleyerek sistemden yararlanmaya başlayabilir.
Araştırmacının bulgularına göre, Microsoft Word’de bulunan RTF ayrıştırıcı, yığın bozulmasına karşı bir güvenlik açığına sahip.
Bu güvenlik açığı, yazılım “\f###” ile işaretlenmiş çok sayıda yazı tipinden oluşan “\fonttbl” ile gösterilen bir yazı tipi tablosunu işlerken etkinleştirilir.
Bir saldırgan, bellek bozulması meydana geldikten sonra rasgele kod yürütme amacıyla hatadan yararlanmak için uygun şekilde hazırlanmış bir yığın düzeni kullanabilir. Kod yürütmeyi göstermek için PoC, yığın bozulmasını göstermek için Windows’ta Hesap Makinesi uygulamasını başlatmaz.
Güvenlik açığından şu anda vahşi ortamda yararlanılmış gibi görünmüyor. Şu anda Microsoft, sorundan yararlanma olasılığının düşük olduğuna inanmaktadır.
geçici çözüm
Düzeltmeyi uygulayamayan kullanıcılar için Microsoft tarafından sağlanan bir düzeltme vardır. Microsoft, kullanıcılara e-postaları düz metin biçiminde okumalarını önerdiği gibi. Ancak, kullanıcı deneyiminde herhangi bir geliştirme veya iyileştirme olmayacağından bu düzeltmenin benimsenmesi olası değildir.
Microsoft Office Dosya Engelleme ilkesini etkinleştirerek, güvenilmeyen veya bilinmeyen kaynaklardan gelen RTF belgelerinin açılmamasını sağlamak için kullanılabilecek bir geçici çözüm de vardır.
Windows Kayıt Defteri’nde değişiklik gerektirmesine ek olarak, bu yöntem bazı riskler de getirir. Ancak, bu güvenlik açığını gidermenin en iyi yolunun bir Microsoft güvenlik güncelleştirmesi yüklemek olduğuna hiç şüphe yok.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin