Bozuk bir yama için bir yama deyin.
Microsoft’un Mayıs 2023 güvenlik güncelleştirmesi, saldırganların Outlook’ta saldırganların zaten yararlandığı kritik bir ayrıcalık yükseltme hatası için Mart ayında yayınladığı bir düzeltmeyi kolayca atlamasına olanak tanıyan bir güvenlik açığı düzeltme eki içerir.
CVE-2023-23397 olarak izlenen bu hata, saldırganların kurbanın Microsoft Outlook istemcisini saldırgan tarafından kontrol edilen bir sunucuya bağlanmaya zorlayarak bir kullanıcının parola karmasını çalmasına olanak tanır. O sırada Microsoft, Outlook istemcisinin bu tür bağlantılar kurmasını esasen engelleyen bir yama ile sorunu ele aldı.
Ancak düzeltmeyi inceleyen Akamai’den bir araştırmacı, ilgili bir Internet Explorer bileşeninde, yalnızca tek bir karakter ekleyerek yamayı tamamen atlamasına olanak tanıyan başka bir sorun buldu.
Microsoft, yeni hata (CVE-2023-29324) için ayrı bir tanımlayıcı atadı ve bu ayın Salı Yaması grubunda bunun için bir yama yayınladı.
Microsoft, güvenlik açığı sürüm notlarında, CVE-2023-29324’ü, saldırganların şirketin Mart ayı açığı için yamada uyguladığı bölge kontrollerinden kaçabilecek kötü amaçlı bir URL oluşturmasına olanak tanıyan bir hata olarak tanımladı.
Microsoft, bunun “sınırlı bir bütünlük ve kurban makinenin kullanılabilirliği kaybına” neden olabileceğini söyledi. Şirket, saldırganların istismar etme olasılığının daha yüksek olduğunu açıklamış olsa da, hatayı orta düzeyde olarak değerlendirdi.
Microsoft, kuruluşların tamamen korunmaları için CVE-2023-23397 için Mart yamasını ve CVE-2023-29324 için Mayıs yamasını uygulamalarını tavsiye ediyor.
Tehlikeli Outlook Güvenlik Açığı
Akamai’deki araştırmacılar, CVE-2023-29324’ün orijinal Outlook güvenlik açığı için yamayı işe yaramaz hale getiren, uzaktan yararlanılabilen, sıfır tıklamalı bir güvenlik açığı olduğunu söylüyor.
“Güvenlik açığı kolayca tetiklenir, çünkü [it] Akamai’de yeni hatayı keşfeden araştırmacı Ben Barnea, herhangi bir özel uzmanlık gerektirmediğini söylüyor. “Aslında, orijinal Outlook güvenlik açığı için İnternette pek çok PoC var ve bunlar, yeni baypas.”
Orijinal Outlook kusuru CVE-2023-23397, kimliği doğrulanmamış bir saldırganın bir kullanıcının NTLM kimlik bilgilerini veya parola karmasını çalmasına ve bunları diğer hizmetlerde kimlik doğrulaması yapmak için kullanmasına izin veren bir hatadır. Saldırganlar, kurbana, Outlook istemcisi e-postayı alıp işlediğinde ve kullanıcı daha Önizleme Bölmesinde görüntülemeden önce otomatik olarak tetiklenen özel hazırlanmış bir e-posta göndererek kusurdan yararlanabilir.
Saldırganlar, kurbanın Outlook istemcisinden saldırgan tarafından kontrol edilen bir sunucuya bir bağlantıyı zorlamak için bu güvenlik açığını kullanabilir ve böylece kurbanın NTLM hash’ini çalabilir. Hata, desteklenen tüm Windows sürümlerini etkiler.
Outlook’un Özel Bildirim Sesini Kötüye Kullanma
Barnea’nın hatayla ilgili analizi, hatanın Outlook’un özel bir bildirim sesiyle anımsatıcı içeren e-postaları işleme biçiminden kaynaklandığını gösterdi.
Bu hata, bir saldırganın, Outlook istemcisinin ses dosyasını, saldırgan denetleyici sunucusu da dahil olmak üzere herhangi bir SMB sunucusundan almasına neden olacak UNC yolu olarak bilinen şeyi belirtmesine olanak tanır. Evrensel Adlandırma Kuralı (UNC) adlandırma yolu, temelde bir ağdaki dosyalar, klasörler ve yazıcılar gibi paylaşılan kaynakları bulmak ve bunlara erişmek için standart bir yol sağlar.
Microsoft, ilgili Outlook kodunun belirli bir URL’nin güvenlik bölgesini doğrulayan bir Windows API işlevini (MapUrlToZone olarak adlandırılır) çağırmasını sağlayarak sorunu ele aldı. Windows’taki güvenlik bölgeleri, yerel makine bölgesini, intranet bölgesini ve güvenilen bölgeleri içerebilir. Akamai, yama, ses dosyasının yolu bir İnternet URL’sine işaret ediyorsa, özel ses sesi yerine yerel bir güvenlik bölgesinden gelen varsayılan hatırlatma sesinin kullanılmasını sağlıyor.
Barnea, saldırganın UNC yoluna tek bir ‘\’ ekleyerek MapUrlToZone’un yerel güvenlik bölgesine ait olarak değerlendireceği bir URL oluşturabileceğini ve ayrıca özel ses dosyasının harici bir SMB sunucusundan indirilmesine izin verebileceğini buldu.
Barnea, “MapUrlToZone burada sorunlu. Bir güvenlik önlemi olarak kullanılıyor, ancak işlevin kendisi bir hata içeriyordu” diyor.
Orijinal Outlook güvenlik açığı (CVE-2023-23397) için yama, bir yolu ayrıştırması ve yerel veya uzak olmasına bakılmaksızın döndürmesi gereken bir işlev kullandı.
Barnea, “Bu ekleme, bir bildirim ses dosyası almak için Outlook’tan uzak sunuculara giden bir bağlantının önlenmesini amaçlıyordu” diyor. “İşlevin yanlış bir şekilde yanlış bir karar verdiği belirli bir yol bulduk – ‘uzak’ yerine ‘yerel’. Bu, işlevi ‘kandırmamıza’ ve orijinal Outlook güvenlik açığından yararlanmak için bu yolu kullanmamıza olanak tanır.”
“Onu kaldır
Barnea, orijinal Outlook güvenlik açığının ve ardından Akamai’nin keşfettiği baypas kusurunun, şirketin Outlook’taki özel hatırlatıcı sesi özelliğini hedef aldığını bildiği tek iki örnek olduğunu söylüyor. Ancak, saldırganlar için özelliğin uzaktan, kimliği doğrulanmamış saldırılar için ilginç bir yüzey sunduğunu söylüyor. Tamamen kaldırılması gerektiğine inanıyoruz” dedi.
Microsoft, Akamai’nin hatanın ciddiyeti ve sunduğu tehdit hakkındaki iddiaları hakkında yorum yapmak için bir Karanlık Okuma talebine hemen yanıt vermedi.