Microsoft, Office 2016 ve sonraki sürümlerini etkileyen ve hala yama bekleyen yüksek öneme sahip bir sıfır günlük güvenlik açığını açıkladı.
CVE-2024-38200 olarak takip edilen bu güvenlik açığı, yetkisiz kişilerin sistem durumu veya yapılandırma verileri, kişisel bilgiler veya bağlantı meta verileri gibi korunan bilgilere erişmesine olanak tanıyan bir bilgi ifşa zayıflığından kaynaklanmaktadır.
Sıfırıncı gün açığı, Office 2016, Office 2019, Office LTSC 2021 ve Microsoft 365 Kurumsal Uygulamaları da dahil olmak üzere birden fazla 32 bit ve 64 bit Office sürümünü etkiliyor.
Microsoft’un istismar edilebilirlik değerlendirmesi CVE-2024-38200’ün istismar edilme olasılığının daha düşük olduğunu söylese de MITRE bu tür bir zayıflığın istismar edilme olasılığını oldukça olası olarak etiketledi.
Microsoft’un tavsiyesinde, “Web tabanlı bir saldırı senaryosunda, bir saldırgan, güvenlik açığından yararlanmak üzere özel olarak hazırlanmış bir dosya içeren bir web sitesine ev sahipliği yapabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran tehlikeye atılmış bir web sitesinden yararlanabilir)” ifadesi yer alıyor.
“Ancak, bir saldırganın kullanıcıyı web sitesini ziyaret etmeye zorlamasının bir yolu olmazdı. Bunun yerine, bir saldırganın kullanıcıyı bir bağlantıya tıklamaya ikna etmesi gerekirdi, genellikle bir e-posta veya Anlık Mesajlaşma mesajındaki bir teşvik yoluyla ve ardından kullanıcıyı özel olarak hazırlanmış dosyayı açmaya ikna etmesi gerekirdi.”
Şirket, bu sıfırıncı gün hatasını gidermek için güvenlik güncellemeleri geliştiriyor ancak henüz bir yayın tarihi duyurmadı.
Daha fazla ayrıntı Defcon’da paylaşılacak
Redmond, güvenlik açığına ilişkin herhangi bir ayrıntı paylaşmazken, açığın keşfinin PrivSec Consulting güvenlik danışmanı Jim Rush ve Synack Red Team üyesi Metin Yunus Kandemir’e atfedildiği belirtildi.
PrivSec Genel Müdürü Peter Jakowetz, BleepingComputer’a yaptığı açıklamada, Rush’ın önümüzdeki “NTLM – The last ride” Defcon konuşmasında bu güvenlik açığı hakkında daha fazla bilgi paylaşacağını söyledi.
Rush, “Microsoft’a açıkladığımız birkaç yeni hata (mevcut bir CVE’nin düzeltmesini atlatmak da dahil) hakkında derinlemesine bir inceleme yapılacak, bazı ilginç ve kullanışlı teknikler, birden fazla hata sınıfından tekniklerin birleştirilmesiyle bazı beklenmedik keşifler ve bazı tamamen pişmiş hatalar ortaya çıkacak” diye açıklıyor.
“Ayrıca mantıklı kütüphanelerde veya uygulamalarda kesinlikle bulunmaması gereken bazı varsayılanları ve Microsoft NTLM ile ilgili güvenlik kontrollerinin bazılarındaki bariz boşlukları da ortaya çıkaracağız.”
BleepingComputer’ın bugün erken saatlerde CVE-2024-38200 güvenlik açığı hakkında daha fazla ayrıntı için ulaştığı Synack sözcüsü, yorum yapmak üzere hemen ulaşılamadı.
Microsoft ayrıca güncel Windows sistemlerindeki “yamaları kaldırmak” ve eski güvenlik açıklarını yeniden ortaya çıkarmak için kullanılabilecek sıfırıncı gün açıklarını yamalamak üzerinde de çalışıyor.
Şirket ayrıca bu hafta başında 2018’den beri istismar edilen Windows Smart App Control, SmartScreen açığını kapatmayı düşündüğünü söyledi.