Microsoft’un geniş hedef kitlesi, saldırganları ürünlerinin ve protokollerinin güvenlik açıkları ve azaltma araçları üzerinde yoğun çalışmalar yapmaya yöneltti.
Bu, CVE-2023-23397 yamasının bir parçası olarak tanıtılan yeni bir uzaktan kod yürütme (RCE) WinAPI CreateUri işlevi güvenlik açığıyla sonuçlandı.
Önceki iki güvenlik açığına sahip RCE zincirinden farklı olarak bu kusur, sıfır tıklamayla RCE’den yararlanmaya olanak tanıyor.
Akamai’deki siber güvenlik araştırmacıları yakın zamanda PoC’nin kritik sıfır tıklama Windows güvenlik açığı için piyasaya sürüldüğünü açıkladı.
Outlook’a ek olarak Dosya Gezgini de bu kusuru tetikleyerek saldırı yüzeyini artırabilir.
Bu bulgu, ortaya çıkan tehlikeleri etkili bir şekilde tanımak ve ele almak için sabit bileşenlerde bile devam eden güvenlik değerlendirmelerine olan ihtiyacı göstermektedir.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Windows’ta Sıfır Tıklama Güvenlik Açığı
Microsoft’un Salı günü yayınlanan Mart 2023 Yaması, Rus devleti destekli tehdit aktörü “Forest Blizzard” tarafından vahşi doğada istismar edilen kritik CVE-2023-23397 Outlook güvenlik açığını giderdi.
Bu kusur, geçiş saldırıları için uzaktan, sıfır tıklamayla NTLM kimlik bilgileri hırsızlığına izin verdi.
Yamayı uyguladıktan sonra araştırmacılar, zincirleme yapıldığında Outlook istemcisine karşı tam sıfır tıklamayla uzaktan kod yürütme (RCE) ilkelini etkinleştiren iki atlama ve bir ayrıştırma güvenlik açığı keşfettiler.
Bu, kapsamlı güvenlik açığı analizinin önemini vurgulamaktadır; çünkü yamalı bileşenler, özellikle sürekli olarak yeni saldırı vektörlerini araştıran kararlı, devlet destekli tehdit aktörlerine karşı, ek hafifletmeler gerektiren istismar edilebilir kusurlar barındırabilir.
Outlook’un CVE-2023-23397 yaması, PidLidReminderFileParameter URL’sini doğrulayan MapUrlToZone’a bir çağrı başlattı; bu, ilk kusurun azaltılmasına yardımcı olur ancak yeni bir saldırı yüzeyi oluşturur.
Ayrıca CreateUri, MapUrlToZone içinden çağrılır ve saldırganların ayrıştırılan yolu kontrol etmesine olanak tanır. CrackUrlFile, dosya yollarını işlediğinde CreateUri tarafından çağrılır ve sonuçta istismara yol açar.
.webp)
Bu yamanın bir noktada bazı güvenlik açıklarını giderirken aynı zamanda tüm kod yollarında güvenilmeyen girişlerin tam olarak doğrulanmaması nedeniyle potansiyel kötüye kullanıma başka bir kapı açtığını da belirtmek gerekir.
Bu bulgular, yama geliştirme sırasında kapsamlı güvenlik incelemelerinin sistemlere yeni güvenlik açıklarının girmesini önlemek için ne kadar önemli olduğunu göstermektedir.
CrackUrlFile’ın başlangıcında, PathCreateFromUrlW’yi kullanarak bir URL’yi Windows yoluna dönüştürür.
Arabelleği dinamik olarak ayrılmış olarak işaretler ve Windows yolları için yalnızca işaretçiyi serbest bırakmadan çalışır. Yerel aygıt yollarını işlemek ve yinelenen ters eğik çizgileri kaldırmak için ayrıştırma sırasında arabellek geliştirilebilir.
Bu güvenlik açığını tetiklemek için UNC yoluna sahip bir dosya şeması URL’si kullanın ve bu yolu sürücü yolu olarak işaretleyin.
Sabit kodda, RtlMoveMemory artık baytları yol bileşeninden kopyalıyor. İşte güvenlik açığını tetiklemenin tam yolu: –
file://./UNC/C:/Akamai.com/file.wav
Bu çalışmada Akamai araştırmacıları, güvenli olmayan bir yola giden kısayol (.lnk dosyası) aracılığıyla Windows Gezgini’ni savunmasız hale getirmenin bir yöntemini araştırdılar.
Kurban kısayolu içeren dizini görüntülediğinde Explorer hemen çöküyor.
Bu bulgular, başka MapUrlToZone atlamaları da olabileceğinden, olası atlamalar için yamaları analiz etmenin ne kadar önemli olduğunu vurgulamaktadır.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.