Microsoft, bu hafta uzaktaki saldırganlar tarafından vahşi ortamda kötüye kullanılan kritik bir Outlook sıfır gün güvenlik açığı için son yamaları atlamak üzere kullanılabilecek bir güvenlik açığını düzeltti.
Bu sıfır tıklama atlaması (CVE-2023-29324), Windows’un tüm desteklenen sürümlerini etkiler ve Akamai güvenlik araştırmacısı Ben Barnea tarafından rapor edilmiştir.
Barnea, “Tüm Windows sürümleri bu güvenlik açığından etkileniyor. Sonuç olarak, Windows’taki tüm Outlook istemci sürümleri kullanılabilir” dedi.
Mart ayında yamalanan Outlook sıfır günlük hatası (CVE-2023-23397), Windows için Outlook istemcisinde, saldırganların NTLM aktarma saldırılarında kullanıcı etkileşimi olmadan NTLM karmalarını çalmasına olanak tanıyan bir ayrıcalık yükseltme kusurudur.
Tehdit aktörleri, özel bildirim seslerine UNC yolları içeren genişletilmiş MAPI özelliklerine sahip iletiler göndererek Outlook istemcisinin kendi denetimleri altındaki SMB paylaşımlarına bağlanmasına neden olarak bundan yararlanabilir.
Microsoft, UNC yollarının internet URL’lerine bağlanmamasını sağlamak için bir MapUrlToZone çağrısı ekleyerek ve varsa sesleri varsayılan hatırlatıcılarla değiştirerek sorunu ele aldı.
Outlook için sıfır tıklama ayrıcalık yükseltmesini atlayın
Barnea, CVE-2023-23397 azaltımını analiz ederken, hatırlatıcı mesajlardaki URL’nin, MapUrlToZone kontrollerini kandırarak uzak yolları yerel yollar olarak kabul edecek şekilde değiştirilebileceğini keşfetti.
Bu, Microsoft’un yamasını atlatır ve Windows Outlook istemcisinin saldırganın sunucusuna bağlanmasına neden olur.
Barnea, “Bu sorun, Windows’ta yolların karmaşık şekilde işlenmesinin bir sonucu gibi görünüyor” diye açıklıyor.
Barnea’nın bulguları ışığında Microsoft, “Müşterilerin tam olarak korunmaları için CVE-2023-23397 ve CVE-2023-29324 güncellemelerini yüklemeleri gerektiği” konusunda uyarıyor.
Internet Explorer kullanımdan kaldırılmış olsa da, güvenlik açığı bulunan MSHTML platformu, bazı uygulamalar tarafından WebBrowser denetimi aracılığıyla ve ayrıca Microsoft Edge’deki Internet Explorer modu tarafından kullanılmaya devam ediyor.
Bu nedenle Redmond, müşterilerini hem bu ayın güvenlik güncellemelerini hem de tamamen korunmaya devam etmek için CVE-2023-29324 güvenlik açığını gidermek üzere yayınlanan IE Toplu güncellemelerini yüklemeye teşvik ediyor.
Veri hırsızlığı için Rus devlet bilgisayar korsanları tarafından istismar edildi
Microsoft’un özel bir tehdit analitiği raporunda ortaya koyduğu gibi, Rus APT28 devlet bilgisayar korsanları (aka STRONTIUM, Sednit, Sofacy veya Fancy Bear) tarafından Nisan ortası ile Nisan ortası arasında en az 14 hükümet, ordu, enerji ve ulaşım kuruluşuna yönelik saldırılarda istismar edildi. Aralık 2022.
APT28, Rusya’nın askeri istihbarat servisi olan Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GRU) ile ilişkilendirilmiştir.
Tehdit aktörleri, hedeflerinin cihazlarını saldırgan tarafından kontrol edilen SMB paylaşımlarında kimlik doğrulaması yapmaya zorlayarak NTLM karmalarını çalmak için kötü amaçlı Outlook notları ve görevleri kullandı.
Bu çalınan kimlik bilgileri, kurbanların ağları içinde yanal hareket için ve belirli hesaplar için e-postaları sızdırmak üzere Outlook posta kutusu izinlerini değiştirmek için kullanıldı.
Microsoft, Exchange yöneticilerinin sunucularının ihlal edilip edilmediğini kontrol etmelerine yardımcı olmak için bir komut dosyası yayınladı, ancak aynı zamanda tehdit aktörleri izlerini temizlediyse başka istismar belirtileri aramalarını tavsiye etti.