Bir Akamai araştırmacısı, Windows’ta, Outlook’ta tam, sıfır tıklamayla uzaktan kod yürütme (RCE) gerçekleştirmek için birleştirilebilecek iki güvenlik açığı buldu.
Her iki güvenlik açığı da sorumlu bir şekilde Microsoft’a bildirildi ve Ağustos 2023 ile Ekim 2023 yaması Salı günleri ele alındı, bu nedenle araştırmacı bulgularını açıklamanın sorun olmayacağını düşündü.
CVE-2023-35384 olarak listelenen ilk güvenlik açığı, Windows HTML platformlarının güvenlik özelliğini atlama güvenlik açığıdır. Saldırganın, Güvenlik Bölgesi etiketlemesini atlatacak kötü amaçlı bir dosya oluşturmasına veya kötü amaçlı bir URL göndermesine olanak tanır; bu da tarayıcılar ve bazı özel uygulamalar (Outlook dahil) tarafından kullanılan güvenlik özelliklerinin bütünlüğünün ve kullanılabilirliğinin kaybolmasına neden olur.
Bu, bir saldırganın, bir kullanıcının amaçladığından daha az kısıtlı bir Internet Güvenlik Bölgesindeki bir URL’ye erişmesine neden olmasına olanak verebilir. Temel olarak istismar, sisteme hatalı bir şekilde dosyanın veya URL’nin yerel olduğunu ve dolayısıyla daha yüksek bir güven faktörüne sahip olduğunu söyler. Daha fazla teknik ayrıntı ve güvenlik açığını bulmak için kullanılan metodoloji için araştırmacıların gönderilerine başvuracağız.
CVE-2023-36710 olarak listelenen ikinci güvenlik açığı, Uzak kelimesinin saldırganın konumunu ifade ettiği bir Windows Media Foundation Çekirdek Uzaktan Kod Yürütme güvenlik açığıdır. Saldırının kendisi yerel olarak gerçekleştiriliyor.
Bir WAV (Dalga Biçimi Ses Dosyası) oynatma sürecinin bir parçası olarak araştırmacı, belirli bir boyuta sahip WAV dosyaları için iki sınır dışı yazma işlemine neden olmanın mümkün olduğunu buldu. Sınırların dışında bir yazma veya okuma kusuru, belleğin daha kritik işlevlere ayrılmış bölümlerinin değiştirilmesini mümkün kılar.
Bu güvenlik açıklarını bir arada zincirlemek için, saldırganın etkilenen Outlook istemcisine özel bildirim sesi içeren bir e-posta hatırlatıcısı göndermesi gerekir. İstemci, ilk güvenlik açığını kullanarak ses dosyasını herhangi bir SMB sunucusundan alacaktır. Sunucu İleti Bloğu protokolü (SMB protokolü), bir ağdaki dosyalara, yazıcılara, seri bağlantı noktalarına ve diğer kaynaklara erişimi paylaşmak için kullanılan bir istemci-sunucu iletişim protokolüdür.
Özel hazırlanmış ses dosyası otomatik olarak oynatıldığında, kurbanın makinesinde etkileşim olmadan (sıfır tıklama) kod yürütülmesine yol açabilir.
Bu endişe edilecek bir şey mi?
Kişisel olarak ben öyle düşünmüyorum. Araştırma çok kapsamlı ve ilginç olmasına rağmen uygun bir ses dosyası oluşturmak zordur. Araştırmacı, IMA ADP codec’i ile mümkün olan en küçük dosya boyutunun 1 GB olduğunu ve MP3 gibi bazı codec’lerde bunu elde etmenin mümkün olmayabileceğini kaydetti.
Ayrıca, güvenlik açıklarına yönelik yamalar aylardır mevcuttur. Ancak biraz çaba sarf ederek bu tür güvenlik açıklarını bulmanın mümkün olduğunu ve şüphesiz daha fazlasının bulunduğunu kanıtlıyor.
Bu gerçeği göstermek için, CVE-2023-35384’ün, aynı araştırmacı tarafından keşfedilen ve Microsoft tarafından Mayıs 2023 güvenlik güncelleştirmelerinin bir parçası olarak yaması uygulanan CVE-2023-23397 için ikinci yama atlaması olduğunu bilmekte fayda var.
Araştırmacı, Microsoft’un yama yöntemlerini eleştirdi:
“Sonuç olarak yama, içinde güvenlik açıkları bulunan daha fazla kod ekledi. Özellik yarardan çok zarar getirdiği için yama kullanmak yerine kötüye kullanılan özelliğin kaldırılmasını önerdik.”
Dolayısıyla Microsoft, sorunu kökten çözmek yerine daha fazla kod ekledi ve bununla birlikte saldırı yüzeyini genişletti. Maalesef sıklıkla karşılaştığımız bir sorun.
Kuruluşunuz bu güvenlik açıklarını gideremediyse, uzak genel IP adreslerine giden SMB bağlantılarını engellemek için mikro bölümleme kullanarak riskleri azaltabilirsiniz. Mikro bölümleme, bir ağı bölümlere ayırmayı ve bölümün gereksinimlerine göre her bölüme güvenlik kontrolleri uygulamayı içeren bir güvenlik yaklaşımını ifade eder.
Veya şüpheli web etki alanlarını engellemek ve belirli site kısıtlamalarını yönetmek için ThreatDown DNS filtreleme modülünü kullanın.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.