CISA, ABD federal ajanslarını Perşembe günü, kritik bir Microsoft Outlook Uzaktan Kod Yürütme (RCE) güvenlik açığını hedefleyen devam eden saldırılara karşı sistemlerini güvence altına almaları konusunda uyardı.
Check Point Güvenlik Açığı Araştırmacısı Haifei Li tarafından keşfedilen ve CVE-2024-21413 olarak izlenen kusur, savunmasız Outlook sürümlerini kullanarak kötü amaçlı bağlantılarla e-postalar açarken yanlış giriş doğrulamasından kaynaklanır.
Saldırganlar uzaktan kod yürütme özellikleri kazanır, çünkü kusur korumalı görünümü (Office dosyalarına gömülü zararlı içeriği, salt okunur modda açarak engellemelidir) ve düzenleme modunda kötü amaçlı ofis dosyalarını açmalarına izin verir.
Bir yıl önce CVE-2024-21413’ü yamaladığında, Microsoft ayrıca önizleme bölmesinin bir saldırı vektörü olduğu konusunda uyardı ve kötü bir şekilde hazırlanmış ofis belgelerini önizleme yaparken bile başarılı bir sömürüye izin verdi.
Check Point’in açıkladığı gibi, bu güvenlik kusuru (olarak adlandırılan Moniker Link), tehdit aktörlerinin, // protokolünü kullanarak e-postalara gömülü kötü amaçlı bağlantılar için yerleşik görünüm korumalarını atlamasına izin verir: // protokolü ve saldırgan kontrollü sunuculara işaret eden URL’lere bir ünlem işareti ekleyerek.
Ünlem işareti, dosya uzantısından hemen sonra, rastgele metinle birlikte eklenir (örneklerinde, “bir şey” kullanılan kontrol noktası), aşağıda gösterildiği gibi:
*CLICK ME*CVE-2024-21413, Microsoft Office LTSC 2021, Enterprise için Microsoft 365 uygulamaları, Microsoft Outlook 2019 ve başarılı CVE-2024-21413 saldırıları dahil olmak üzere birçok ofis ürününü etkiler. Kötü niyetli ofis belgeleri aracılığıyla keyfi kod.
Perşembe günü, CISA, bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna güvenlik açığını aktif olarak sömürülen şekilde işaretledi. Bağlayıcı Operasyonel Direktif (BOD) 22-01 tarafından zorunlu kılınan federal ajanslar, ağlarını 27 Şubat’a kadar üç hafta içinde güvence altına almalıdır.
Siber güvenlik ajansı, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.”
CISA öncelikle federal kurumların mümkün olan en kısa sürede yamalanması gereken güvenlik açıkları konusunda uyarılmaya odaklanırken, özel kuruluşlara bu kusurların devam eden saldırıları engellemek için yamaya öncelik vermeleri tavsiye edilir.