Microsoft’tan daha fazla bilgiyle güncelleyin.
Microsoft, Office 2016’yı etkileyen ve NTLM karma değerlerini uzaktaki bir saldırgana ifşa edebilecek yüksek öneme sahip bir güvenlik açığını açıkladı.
CVE-2024-38200 olarak takip edilen bu güvenlik açığı, yetkisiz kişilerin korunan bilgilere erişmesine olanak tanıyan bir bilgi ifşa zayıflığından kaynaklanmaktadır.
Sıfırıncı gün açığı, Office 2016, Office 2019, Office LTSC 2021 ve Microsoft 365 Kurumsal Uygulamaları da dahil olmak üzere birden fazla 32 bit ve 64 bit Office sürümünü etkiliyor.
Microsoft’un istismar edilebilirlik değerlendirmesi CVE-2024-38200’ün istismar edilme olasılığının daha düşük olduğunu söylese de MITRE bu tür bir zayıflığın istismar edilme olasılığını oldukça olası olarak etiketledi.
Microsoft’un tavsiyesinde, “Web tabanlı bir saldırı senaryosunda, bir saldırgan, güvenlik açığından yararlanmak üzere özel olarak hazırlanmış bir dosya içeren bir web sitesine ev sahipliği yapabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran tehlikeye atılmış bir web sitesinden yararlanabilir)” ifadesi yer alıyor.
“Ancak, bir saldırganın kullanıcıyı web sitesini ziyaret etmeye zorlamasının bir yolu olmazdı. Bunun yerine, bir saldırganın kullanıcıyı bir bağlantıya tıklamaya ikna etmesi gerekirdi, genellikle bir e-posta veya Anlık Mesajlaşma mesajındaki bir teşvik yoluyla ve ardından kullanıcıyı özel olarak hazırlanmış dosyayı açmaya ikna etmesi gerekirdi.”
Şirket, bu sıfırıncı gün hatasını gidermek için güvenlik güncellemeleri geliştiriyor ancak henüz bir yayın tarihi duyurmadı.
Bu makalenin yayınlanmasından bu yana Microsoft, 30/07/2024 tarihinde Feature Flighting aracılığıyla bir düzeltme yayınladıklarını belirterek, CVE-2024-38200 açığı hakkında daha fazla bilgi paylaştı
Güncellenen CVE-2024-38200 duyurusunda “Hayır, 30.07.2024 tarihinde Özellik Uçuşu aracılığıyla etkinleştirdiğimiz bu soruna alternatif bir çözüm belirledik” ifadesi yer alıyor.
“Müşteriler, Microsoft Office ve Microsoft 365’in desteklenen tüm sürümlerinde zaten korunmaktadır. Müşterilerin, düzeltmenin nihai sürümü için 13 Ağustos 2024 güncelleştirmelerine güncelleme yapmaları gerekir.”
Tavsiyede ayrıca bu kusurun uzak sunuculara giden NTLM trafiğinin engellenmesiyle giderilebileceği belirtiliyor.
Microsoft, giden NTLM trafiğini aşağıdaki üç yöntemi kullanarak engelleyebileceğinizi söylüyor:
Microsoft, bu önlemlerden herhangi birinin kullanılmasının, NTLM kimlik doğrulamasına dayanan uzak sunuculara meşru erişimi engelleyebileceğini belirtiyor.
Microsoft, güvenlik açığı hakkında daha fazla ayrıntı paylaşmasa da bu kılavuz, bu açığın saldırganın sunucusundaki bir SMB paylaşımına giden bir NTLM bağlantısını zorlamak için kullanılabileceğini gösteriyor.
Bu gerçekleştiğinde Windows, saldırganın çalabileceği karma şifresi de dahil olmak üzere kullanıcının NTLM karma değerlerini gönderir.
Geçmişte defalarca gösterildiği gibi, bu karmalar kırılabilir ve tehdit aktörlerinin oturum açma adlarına ve düz metin parolalara erişmesini sağlayabilir.
NTLM karmaları, daha önce ShadowCoerce, DFSCoerce, PetitPotam ve RemotePotato0 saldırılarında görüldüğü gibi, bir ağdaki diğer kaynaklara erişim sağlamak amacıyla NTLM Röle Saldırılarında da kullanılabilir.
Daha fazla ayrıntı Defcon’da paylaşılacak
Microsoft, güvenlik açıklarının keşfinin PrivSec Consulting güvenlik danışmanı Jim Rush ve Synack Red Team üyesi Metin Yunus Kandemir’e ait olduğunu açıkladı.
PrivSec Genel Müdürü Peter Jakowetz, BleepingComputer’a yaptığı açıklamada, Rush’ın önümüzdeki “NTLM – The last ride” Defcon konuşmasında bu güvenlik açığı hakkında daha fazla bilgi paylaşacağını söyledi.
Rush, “Microsoft’a açıkladığımız birkaç yeni hata (mevcut bir CVE’nin düzeltmesini atlatmak da dahil) hakkında derinlemesine bir inceleme yapılacak, bazı ilginç ve kullanışlı teknikler, birden fazla hata sınıfından tekniklerin birleştirilmesiyle bazı beklenmedik keşifler ve bazı tamamen pişmiş hatalar ortaya çıkacak” diye açıklıyor.
“Ayrıca mantıklı kütüphanelerde veya uygulamalarda kesinlikle bulunmaması gereken bazı varsayılanları ve Microsoft NTLM ile ilgili güvenlik kontrollerinin bazılarındaki bariz boşlukları da ortaya çıkaracağız.”
BleepingComputer’ın bugün erken saatlerde CVE-2024-38200 güvenlik açığı hakkında daha fazla ayrıntı için ulaştığı Synack sözcüsü, yorum yapmak üzere hemen ulaşılamadı.
Microsoft ayrıca güncel Windows sistemlerindeki “yamaları kaldırmak” ve eski güvenlik açıklarını yeniden ortaya çıkarmak için kullanılabilecek sıfırıncı gün açıklarını yamalamak üzerinde de çalışıyor.
Şirket ayrıca bu hafta başında 2018’den beri istismar edilen Windows Smart App Control, SmartScreen açığını kapatmayı düşündüğünü söyledi.
Güncelleme 8/10/24: Microsoft’tan açığın azaltılmasına ilişkin ek bilgiler eklendi.