Güvenlik araştırmacıları, Microsoft Outlook’ta “MonikerLink” olarak adlandırılan kritik bir uzaktan kod yürütme güvenlik açığı olan CVE-2024-21413 için bir kavram kanıtlama (PoC) istismarı yayınladı.
Bu kusur, saldırganların kurban sistemlerinde özel hazırlanmış e-postalar aracılığıyla rastgele kod yürütmesine olanak tanır ve dünya çapındaki kuruluşlar için ciddi bir risk oluşturur.
| Alan | Detaylar |
|---|---|
| CVE Kimliği | CVE-2024-21413 |
| Güvenlik Açığı Adı | Takma Bağlantı Hatası |
| CVSS Puanı | 9.8 |
| Şiddet | Kritik |
| CWE Kimliği | CWE-20 (Uygunsuz Giriş Doğrulaması) |
| Güvenlik Açığı Türü | Uzaktan Kod Yürütme (RCE) |
Güvenlik Açığı Genel Bakış
MonikerLink güvenlik açığı, Microsoft Outlook’un e-postalardaki belirli köprüleri işleme biçimini etkiliyor.
Check Point Research tarafından keşfedilen kusur, saldırganların e-posta köprülerindeki dosya yollarına özel bir ünlem işareti (“!”) karakteri ekleyerek Outlook’un güvenlik kısıtlamalarını atlamalarına olanak tanıyor.
Kullanıcılar file:///\\IP\test\test.rtf!something olarak biçimlendirilmiş kötü amaçlı bağlantılara tıkladıklarında, Outlook bunları “Takma Bağlantılar” olarak ele alır ve bunları Windows COM API’leri aracılığıyla normal güvenlik uyarılarını atlayarak işler.
Güvenlik açığı, tehdit aktörleri için birden fazla saldırı fırsatı sunuyor. Başarılı bir şekilde yararlanma, yerel NTLM kimlik bilgilerinin sızmasına neden olabilir ve saldırganlar bunu ağın güvenliğini daha da tehlikeye atmak için kullanabilir.
Daha da önemlisi, Korumalı Görünümü tetiklemeden uzaktan kod yürütmenin tamamını gerçekleştirme yeteneğidir. Bu güvenlik özelliği potansiyel olarak tehlikeli dosyaları kısıtlı modda açar.
GitHub’da bulunan PoC istismarı, saldırganların Outlook önizleme bölmesinde sıfır tıklamayla NTLM karmalarını çalan kötü amaçlı e-postaları nasıl oluşturabileceklerini gösteriyor.
Bu istismar, gerçek dünyadaki saldırı koşullarını simüle ederek SPF, DKIM ve DMARC güvenlik kontrollerini atlayan e-postalar göndermek için SMTP kimlik doğrulamasını kullanıyor.
Aktif İstismar Onaylandı
CISA, Şubat 2025’te Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna CVE-2024-21413’ü ekleyerek vahşi ortamda aktif istismarı doğruladı.
Ajans, federal kurumların belirlenen son tarihe kadar yamaları uygulamasını zorunlu kıldı ve tüm kuruluşların iyileştirmeye derhal öncelik vermesini tavsiye etti.
Kuruluşlar, birden fazla yöntem kullanarak istismar girişimlerini tespit edebilir. Güvenlik araştırmacısı Florian Roth, kötü amaçlı file:\\ öğe desenini içeren e-postaları tanımlayan YARA kuralları geliştirdi.
Wireshark ile ağ izleme, NTLM kimlik bilgisi hırsızlığı girişimlerinin göstergesi olan şüpheli SMB trafiğini de yakalayabilir.
Microsoft, bu güvenlik açığını gidermek için Şubat 2024 Yaması Salı günü güvenlik güncelleştirmeleri yayımladı.
Kuruluşlar bu düzeltme eklerini etkilenen tüm Microsoft Office yüklemelerine derhal uygulamalıdır.
Düzeltme ekinin geciktiği ortamlar için, harici adreslere giden SMB trafiğinin kapatılması, geçici bir azaltma sağlar.
Check Point araştırmacıları MonikerLink güvenlik açığının Outlook’un ötesine geçtiği konusunda uyarıyor. Temel sorun, Windows COM API’lerinin, özellikle de MkParseDisplayName() ve MkParseDisplayNameEx()’in güvenli olmayan kullanımından kaynaklanmakta olup, diğer uygulamaları da benzer şekilde savunmasız hale getirebilir.
Bu, hatayı, Java ortamlarını etkileyen Log4j güvenlik açığıyla karşılaştırılabilecek sistemik bir Windows ekosistemi sorunu olarak konumlandırıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.