CVE-2025-21298 olarak tanımlanan kritik bir güvenlik kusuru, Microsoft’un Windows Nesnesi Bağlama ve Gömme (OLE) teknolojisinde açıklanmıştır.
9.8 CVSS puanı taşıyan bu sıfır tıkalı güvenlik açığı, saldırganların Microsoft Outlook ve diğer uygulamaları kullanarak keyfi kodları uzaktan yürütmesine izin verir.
Kusur, şiddeti ve sömürü kolaylığı nedeniyle siber güvenlik topluluğunda alarmlar verdi. CVE-2025-21298, OLE32.DLL kütüphanesindeki bir bellek bozulması sorunundan kaynaklanan bir uzaktan kod yürütme (RCE) güvenlik açığıdır.
Özellikle, kusur zengin metin formatı (RTF) dosyalarına gömülü ole nesnelerini işleyen UtolePressTMToContentStm işlevinde bulunur.
Saldırganlar, RTF eki içeren kötü amaçlı bir e -posta göndererek bu güvenlik açığını kullanabilir. Microsoft Outlook’ta e -postanın açılması veya önizlenmesi, güvenlik açığını tetikler ve saldırganların kullanıcı etkileşimi gerektirmeden keyfi kod yürütmesini sağlar.
OffSEC araştırmacıları, “Mağdur Microsoft Outlook’ta e -postayı açtığında veya önizlediğinde, güvenlik açığı tetiklenerek saldırganın etkilenen sistemde keyfi kod yürütmesine izin veriyor” dedi.
Windows OLE Zero-Click Güvenlik Açığı Detaylar
Güvenlik açığı, zaten serbest bırakılmış olan belleğe uygunsuz bir şekilde erişildiği bir “Ücretsiz Kullanım” sorunu (CWE-416) olarak sınıflandırılır. Bu, verilerin bir “olepres” akışından OLE depolama alanındaki bir “içerik” akışına dönüştürülmesi sırasında gerçekleşir.
Bir saldırgan RTF dosyasını bu kusurdan yararlanmak için hazırlarsa, yığın bellek yönetimi yapılarını bozarak keyfi kod yürütülmesine yol açabilir.
GitHub’da bir konsept kanıtı (POC) istismar yayınlandı ve kötü niyetli bir RTF dosyasının açılmanın Microsoft Word veya Outlook’u nasıl çöktüğünü gösteriyor.
Güvenlik araştırmacıları, sömürünün tam sistem uzlaşmasına neden olabileceğini ve saldırganlara aşağıdakileri yapma yeteneğini sağlayabileceğini doğruladılar:
- Programları yükleyin.
- Hassas verilere erişin veya değiştirin.
- Tam kullanıcı ayrıcalıklarına sahip yeni hesaplar oluşturun.
Bu sıfır-tıkaç güvenlik açığı özellikle tehlikelidir, çünkü e-posta önizlemesinin ötesinde kullanıcı etkileşimi gerektirmez.
Windows 10, Windows 11 ve çeşitli Windows Server sürümleri dahil olmak üzere birden fazla Windows sürümlerini etkiler. Microsoft Outlook kullanan kuruluşlar, e -posta iletişimi için yaygın kullanımı nedeniyle özellikle risk altındadır.
Azaltma ve öneriler
Microsoft bu güvenlik açığını Ocak 2025 Patch Salı güncellemelerinde ele aldı. Kullanıcılar ve kuruluşlar bu yamaları derhal uygulamaları istenir.
Derhal güncelleyemeyenler için Microsoft, Outlook’u tüm e -postaları düz metin biçiminde okumaya yönlendirmenizi önerir.
Bu, kötü amaçlı OLE nesnelerinin otomatik olarak yürütülme riskini azaltır, ancak görüntüler ve animasyonlar gibi zengin içeriği kaldırarak e -posta okunabilirliğini etkileyebilir.
Ek hafifletme adımları şunları içerir:
- Güvenilmeyen kaynaklardan RTF dosyalarını açmaktan kaçının.
- Başarılı istismarlardan elde edilen potansiyel hasarı en aza indirmek için en az ayrıcalık ilkeleri uygulayın.
- .Rtf dosyaları veya OLE ile ilgili işlemlerle şüpheli etkileşimleri izlemek için Sigma kurallarını veya diğer algılama mekanizmalarını kullanın.
Güvenlik uzmanları, sömürü denemelerini tespit etmek için Microsoft Defender ve üçüncü taraf çözümleri gibi araçlardan yararlanabilir. Örneğin:
Sigma kuralları, .rtf veya .dll gibi yüksek riskli dosya türleriyle etkileşime giren sistemleri tanımlayabilir. Windbg gibi hata ayıklama araçları, sömürüyü onaylamak için dosya işleme sırasında bellek işlemlerini izleyebilir.
CVE-2025-21298, OLE gibi eski teknolojileri güvence altına almanın devam eden zorluklarının altını çizmektedir. Sıfır tıkırtısı doğası ve yüksek etkisi onu dünya çapında kuruluşlar için kritik bir tehdit haline getiriyor.
Bu güvenlik açığı ile ilişkili riskleri azaltmak için hemen yama ve proaktif izleme gereklidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free