Microsoft’un Salı günü bir düzeltme yayınladığı Windows MSHTML Platformundaki bir sahtecilik açığı olan CVE-2024-38112’nin, Check Point araştırmacısı Haifei Li’nin açıkladığına göre, saldırganlar tarafından bir yıldan uzun süredir istismar ediliyor.
“Check Point Research yakın zamanda tehdit aktörlerinin uzaktan kod yürütme için Windows kullanıcılarını cezbetmek amacıyla yeni (veya daha önce bilinmeyen) numaralar kullandığını keşfetti. Saldırganlar özellikle, tıklandığında emekliye ayrılmış Internet Explorer’ı (IE) saldırganın kontrol ettiği URL’yi ziyaret etmeye çağıran özel Windows İnternet Kısayolu dosyaları (.url uzantı adı) kullandılar,” diye açıkladı.
“Saldırgan, Windows’taki modern ve çok daha güvenli Chrome/Edge tarayıcısı yerine IE ile URL’yi açarak, kurbanın bilgisayarını istismar etmede önemli avantajlar elde etti; oysa bilgisayar modern Windows 10/11 işletim sistemini çalıştırıyor.”
Sıfır günlük riskten yararlanma
CVE-2024-38112’yi istismar etmek için özel olarak tasarlanmış bir dosya – örneğin, Kitaplar_A0UJKO.pdf.url – Microsoft Edge uygulama dosyasında özelleştirilmiş bir simgeye işaret edeceği için çoğu Windows kullanıcısına zararsız bir dosya gibi görünecektir (msedge.exe) – bu durumda, PDF dosyaları için bir simge.
Dosya, saldırganların daha fazla güvenlik ihlaline yol açabileceği bir saldırgan tarafından kontrol edilen web sitesini açmaya zorlamak için MHTML: URI işleyicisini kullanır.
Araştırmacı, “Örneğin saldırganın, Chrome/Edge ile karşılaştırıldığında bulunması çok daha kolay olan bir IE sıfır-gün açığı varsa, saldırgan uzaktan kod yürütmeyi hemen elde etmek için kurbana saldırabilir” dedi.
“Ancak analiz ettiğimiz örneklerde, tehdit aktörleri herhangi bir IE uzaktan kod yürütme açığı kullanmadı. Bunun yerine, IE’de muhtemelen daha önce kamuoyu tarafından bilinmeyen başka bir hile kullandılar – bilgimiz dahilinde – kurbanı uzaktan kod yürütme elde etmeye kandırmak için.”
Bu hile, saldırganların dosyanın gerçek doğasını, dosyayı açmak isteyen kullanıcıdan gizlemeye devam etmesini sağlıyor; kullanıcı, birkaç açılır uyarıya tıklayarak dosyayı açmaya çalışıyor; PDF dosyası aslında kötü amaçlı bir HTA (HTML uygulaması) dosyası ve RCE’yi çalıştırıp etkinleştiriyor.
IE açılır penceresi yalnızca PDF uzantısını gösteriyor (Kaynak: Check Point Research)
“Keşfettiğimiz kötü amaçlı .url örneklerinin tarihi Ocak 2023’ten (bir yıldan fazla) en geç 13 Mayıs 2024’e kadar uzanıyor olabilir (…). Bu, tehdit aktörlerinin saldırı tekniklerini oldukça uzun bir süredir kullandığını gösteriyor” diye belirtti araştırmacı.
Microsoft Mayıs ayında bilgilendirildi ve sonunda URL dosyalarının MHTML: URI işleyicisini tetiklemesini engelleyen bir yama yayınladı. Yöneticilerin bunu hızlı bir şekilde uygulamaları önerilir. Ayrıca kullanıcıların güvenilir olmayan kaynaklardan gelen URL dosyalarını açarken dikkatli olmaları ve dikkatli bir inceleme yapmadan işletim sistemi güvenlik uyarılarını geçmemeleri önerilir.
CISA, CVE-2024-38112 numaralı güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek, ABD federal sivil yürütme organı kurumlarına 30 Temmuz’a kadar yamayı uygulamalarını emretti.
CVE-2024-38021: Er ya da geç düzeltilmesi gereken bir diğer kusur
Morphisec araştırmacıları, uzaktan istismar edilebilen ve RCE’ye yol açabilen bir Microsoft Office güvenlik açığı olan CVE-2024-38021’e yönelik yamanın da er ya da geç uygulanması gerektiği konusunda uyardı.
Microsoft, bu kusura “Önemli” bir önem derecesi verdi, ancak “güvenilir gönderenler için sıfır tıklama özelliği ve kimlik doğrulama gereksinimlerinin olmaması” nedeniyle bunun kritik olarak değerlendirilmesi gerektiğini savunuyorlar.
Araştırmacılar, önümüzdeki ay Las Vegas’ta düzenlenecek DEF CON 32 konferansında CVE-2024-38021 için teknik detayları ve bir PoC yayınlayacaklar, bu yüzden yamayı ondan önce edinin.