Son zamanlarda Microsoft, iki sıfır gün açığı da dahil olmak üzere yaklaşık 80 güvenlik açığını gidermek için bir dizi yama yayınladı.
Kritik sıfır gün açıklarından biri olan CVE-2023-23397, Microsoft Outlook’ta bulunan ve bir saldırganın yükseltilmiş ayrıcalıklar kazanmasına olanak tanıyan bir güvenlik açığıdır. Bu güvenlik açığının önem derecesi, Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) 10 üzerinden 9,8 olarak derecelendirilmiştir.
Bu güvenlik açığı, bir kurban Evrensel Adlandırma Kuralı (UNC) yolu içeren genişletilmiş İleti Uygulama Programı Arabirimi (MAPI) özelliğine sahip kötü amaçlı bir ileti aldığında tetiklenebileceği için özellikle endişe vericidir.
Bu yol, kurbanı saldırgan tarafından kontrol edilen bir sunucuda barındırılan bir Sunucu İleti Bloğu (SMB) paylaşımına yönlendirerek güvenlik açığından yararlanılmasına yol açar.
Bu güvenlik açığı daha da tehlikelidir çünkü saldırgan, kurban NTLM kimlik doğrulamasını destekleyen diğer sistemlere karşı kimlik doğrulaması için saldırganın SMB sunucusuna bağlandığında otomatik olarak gönderilen Yeni Teknoloji LAN Yöneticisi (NTLM) anlaşma mesajını kullanabilir.
Microsoft Outlook Güvenlik Açığı CVE-2023-2339 ve etkileri
Söz konusu güvenlik açığı, Android, iOS ve macOS sürümleri hariç Windows için Microsoft Outlook’un desteklenen sürümünü etkiliyor.
Olası saldırılardan kaçınmak için Microsoft, kullanıcılara sistemlerini hemen güncellemelerini tavsiye etti. Güncelleştirme bir seçenek değilse, Microsoft olası çözümler olarak Active Directory’deki Korumalı Kullanıcılar grubuna kullanıcıların eklenmesini ve TCP bağlantı noktası 445’te giden SMB trafiğinin engellenmesini önerir.
Rus istihbarat servisleriyle bağlantılı siber suçluların geçen yıl bu güvenlik açığından aktif olarak yararlandığını belirtmekte fayda var.
Bununla mücadele etmek için Microsoft, “PidLidReminderFileParameter” özelliğiyle sorunlu öğeleri belirleyip kaldırmak ve kaldırmak için e-postaları, takvim girişlerini ve görev öğelerini tarayan bir PowerShell betiği sağlamıştır.
Bir güvenlik araştırmacısı, bu güvenlik açığından yararlanmak için kullanılan “task.file.msg_data.reminderFileParameter” parametresinin varlığını tanımlayabilen bir Python betiği de geliştirdi.
Microsoft, CVE-2023-2339 güvenlik açığı için yamalar yayınladı
Bu yamaları ve komut dosyalarını yayınlamak, kullanıcıları bu güvenlik açığından korumaya yönelik önemli bir adım olmakla birlikte, siber güvenlik uzmanları ile kötü niyetli aktörler arasında devam eden savaşı vurgulamaktadır.
Siber tehditlerin sürekli gelişimi, yazılım şirketlerinin güvenlik açıklarını istismar edilmeden önce belirleme ve ele alma konusunda tetikte olmaları gerektiği anlamına gelir.
Özetlemek gerekirse, CVE-2023-23397 güvenlik açığı, Rus tehdit aktörlerinin zaten istismar ettiği ciddi bir tehdittir. Windows için Microsoft Outlook kullanıcıları, olası saldırıları önlemek için sistemlerine hemen yama yapmalıdır.