Dirk Schrader, Yerleşik CISO (EMEA) ve Netwrix Güvenlik Araştırmaları Başkan Yardımcısı
Microsoft Office evreninde yakın zamanda yeni bir güvenlik açığı keşfedildi. Bununla ilgili bazı detayları inceleyelim. Microsoft Destek Tanılama Aracı (MSDT) ve diğer araçlar kuruluşlara nasıl karşı kullanılabilir? BT ekipleri kötü bir şeyin olmasını önlemek için ne yapabilir?
Ne oluyor?
MS Office’te yeni keşfedilen CVE-2022-30190 güvenlik açığı, saldırganlara uç noktalar aracılığıyla kuruluşların BT ortamlarını ele geçirmenin yeni bir yolunu sunar. Bu istismarın, henüz yama yapılmadıysa, çoğu Windows / MS Office kurulumunda çalışması muhtemeldir.
Saldırgan, kötü amaçlı yazılım kodunu içeren bir MS Word belgesi hazırlar, bunu birinin iş e-posta adresine gönderir ve alıcıyı açmaya ikna etmek için yaygın sosyal mühendislik tekniklerini kullanır. Aralık 2021’de keşfedilen Log4Shell güvenlik açığını hatırlayın; burada sorun, bir işlevde bir işlevi yürütmenin kontrolsüz bir yolu ve dış kaynakları çağırma yeteneği ile ilgiliydi. Başlangıçta ‘Follina’ olarak adlandırılan bu 0 günlük, benzer şekilde çalışır.
Word, uzak bir konumdan bir HTML dosyası almak için kötüye kullanılan ‘uzak şablon’ adlı bir özelliğe sahiptir. Bu HTML dosyası alındıktan sonra, Powershell betiği veya hedefte bulunan diğer araçları kullanarak gömülü bir yükü yürütmek için MSDT’deki bir işlevi kullanır.
Windows’un yerleşik güvenlik araçları muhtemelen bu etkinliği yakalayamayacaktır.Standart sertleştirme karşılaştırmaları da bunu kapsamaz. Defender gibi yerleşik savunma mekanizması veya makro kullanımına yönelik genel kısıtlamalar bu saldırıyı da engellemeyecektir.
İstismar, hedeflenen sistemde nelerin yürütülmesi gerektiğine dair çeşitli değişikliklerle bir aydan fazla bir süredir vahşi görünüyor.
Ne etkilenir?
Microsoft, Windows 7’den Windows 11’e ve Server 2008’den Server 2022’ye kadar 41 farklı ürün sürümünü listeler. Üzerinde çalıştıkları Windows sürümünden bağımsız olarak Office, Office 2016, Office 2021 ve Office 2022’nin etkilendiği bilinen ve kanıtlanan ürünlerdir. Yamalar zaten yayınlandı.
büyük resim
Hem bu MSDT güvenlik açığı hem de Log4Shell, bunların güvenilir alan içinde yürütüldüğü yönüne dayanarak, belgelenmiş işlevleri kurbana karşı kullanmaya çalışıyor. APT grupları, bu ‘işlev içindeki işlev’ güvenlik açıklarından daha fazlasını arayacaktır. CVE-2022-30190’ın yayınlanmasından sonraki haftalarda, benzer işlevlerden yararlanmanın bazı ek yolları yuvarlak oldu.
Önümüzdeki haftalarda, saldırganlar büyük olasılıkla bu saldırı vektörünü silah haline getirmenin ve hedef odaklı kimlik avı kampanyalarında kullanmanın yollarını arayacak. Siber dolandırıcılar, görünüşe göre bu saldırı vektörünü diğer yeni tekniklerle (Japonya’da keşfedilen gibi) ve mevcut kullanıcının bağlamından yükselmek için ayrıcalık yükseltme teknikleriyle birleştirecek. Bu ‘birleşik’ taktiğin olasılığını akılda tutarak, BT uzmanları, ihlal etkinliğini tespit etmek için sistemlerin yakından izlenmesini sağlamalıdır.
Güvenliği sağlamak için ne yapmalı?
CVE-2022-30190 için, ilk bulgular, belirli bir kayıt defteri anahtarının silinmesinin bu istismarın çalışmasını durduracağını gösterdi, ancak CIS ve DIA STIG’den alınanlar gibi karşılaştırmalar, sertleştirme sürecinin bir parçası olarak gerekli ayarı kapsamıyor gibi görünüyor. Bu arada, henüz yapılmadıysa yamanın yüklenmesi öncelik listesinde olmalıdır.
Bu tür bir saldırı vektörüyle ilgili şüpheli etkinliği tespit etmek için BT ekiplerinin, kuruluşlarının sistemlerinde, özellikle sistem klasörlerinde meydana gelen değişiklikleri yakından izlemesi ve istenmeyen süreçleri veya başlatılan hizmetleri zamanında tespit etmesi gerekir.
Windows tabanlı ortamlarda, bu tür saldırıları önlemeye yardımcı olabilecek başka bir önlem, sistemlerinizi kilitleyecek bir dizi Windows grup ilkesi ve PAM 2.0 önlemi oluşturmaktır. atanan ayrıcalıklarla sınırlandırılmış ve sınırlandırılmıştır.
yazar hakkında
Dirk Schrader, Netwrix’te Yerleşik CISO (EMEA) ve Güvenlik Araştırmaları Başkan Yardımcısıdır. CISSP (ISC²) ve CISM (ISACA) sertifikalarına sahip 25 yıllık BT güvenliği emektarı, siber tehditlerle mücadelede modern bir yaklaşım olarak siber dayanıklılığı geliştirmek için çalışıyor. Dirk, kariyerinin başında teknik ve destek görevlerinden başlayarak, hem büyük çok uluslu şirketlerde hem de küçük girişimlerde satış, pazarlama ve ürün yönetimi pozisyonlarına geçerek dünya çapında siber güvenlik projelerinde çalıştı. Siber dayanıklılığa ulaşmak için değişiklik ve güvenlik açığı yönetimine değinme ihtiyacı hakkında çok sayıda makale yayınladı.
Dirk’e Twitter @DirkSchrader_ adresinden www.netwrix.com adresinden ulaşılabilir.