Microsoft 365’in PDF dışa aktarma işlevselliğinde kritik bir güvenlik açığı keşfedildi ve daha sonra yamalandı ve hassas kurumsal veriler için önemli riskleri vurguladı.
Discoverer’a Microsoft Güvenlik Yanıt Merkezi’nden (MSRC) 3.000 dolarlık bir ödül kazandıran güvenlik açığı, çok kiracılı ortamlarda gizli sistem bilgilerini potansiyel olarak tehlikeye atabilecek yerel bir dosya içerme (LFI) saldırı vektörünü ortaya çıkardı.
Keşif ve İlk Araştırma
Bir siber güvenlik araştırmacısı belge dönüştürme özellikleri içeren bir web uygulamasını analiz ederken, güvenlik kusuru başlangıçta rutin bir müşteri değerlendirmesi sırasında ortaya çıkarıldı.
Uygulama, SharePoint entegrasyonu yoluyla çeşitli belge biçimlerini PDF’lere dönüştürmek için Microsoft’un resmi API’lerini kullandı.
Test sırasında araştırmacı, HTML-PDF dönüştürme işlemleri sırasında yerel sistem dosyalarına yetkisiz erişime izin veren anormal bir davranış belirledi.
Bu keşfi özellikle önemli kılan şey, güvenlik açığının müşterinin özel uygulaması yerine Microsoft’un temel altyapısında var olduğu vahyiydi.
Müşterinin geliştirme ekibi, yalnızca Microsoft’un resmi API’leri etrafında bir ambalaj kullandıklarını doğruladı ve araştırmacının bulguları doğrudan Microsoft’un güvenlik ekibine yükseltmesini istedi.
Güvenlik açığı, Microsoft Graph API’lerinde HTML-PDF dönüştürme özelliklerini sağlayan belgelenmemiş bir özellikten kaynaklandı.
Resmi belgeler, çeşitli Microsoft Office dosyaları (DOC, DOCX, PPT, XLSX, vb.) Dahil olmak üzere desteklenen formatları belirtirken, sistem de uygun güvenlik denetimleri olmadan HTML içeriğini işledi.
Saldırganlar, belirli HTML etiketlerini yerleştirerek bu zayıflığı kullanabilir –
Saldırı metodolojisi üç basit adım içeriyordu: grafik API üzerinden hazırlanmış bir HTML dosyasının yüklenmesi, PDF dönüşümü talep etme ve gömülü yerel dosya içeriği içeren ortaya çıkan belgenin indirilmesi.
Araştırmacı, Web.config ve Win.ini dosyaları gibi ortak sistem dosyalarını başarıyla çıkararak, konseptin gerçek dünya senaryolarındaki uygulanabilirliğini kanıtlayarak güvenlik açığının etkinliğini gösterdi.
Microsoft, güvenlik açığını “önemli” şiddet olarak sınıflandırdı ve o zamandan beri kapsamlı iyileştirme önlemleri uygulamıştır.
Dört aylık soruşturma dönemi, araştırmacının kurumsal güvenliğe katkısını kabul ederek 3.000 dolarlık ödül ödülü ile sona erdi.
Microsoft 365 hizmetlerini kullanan kuruluşlar, benzer güvenlik açıklarına karşı korumak için sistemlerinin en son güvenlik yamalarıyla güncellenmesini sağlamalıdır.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.