Morphisec’teki araştırmacılar, Microsoft Outlook’ta yakın zamanda keşfedilen sıfır tıklamalı uzaktan kod yürütme (RCE) güvenlik açığı hakkında kritik teknik ayrıntıları ortaya çıkardılar. Bu güvenlik açığı, CVE-2024-38021 olarak tanımlandı. Bu güvenlik açığı, potansiyel saldırganların kullanıcı kimlik doğrulaması olmadan keyfi kod yürütmesine olanak tanıyarak önemli bir güvenlik riski oluşturuyor.
Güvenlik açığı, Outlook’un resim etiketi URL’lerindeki bileşik takma adları nasıl işlediğine ilişkin bir kusurdan yararlanır. Köprü metni ayrıştırmayı içeren önceki CVE-2024-21413’ün aksine, CVE-2024-38021, mso30win32client!HrPmonFromUrl yöntemini hedef alarak Microsoft’un ilk yamasını atlar.
Resim etiketleri içindeki URL’leri ayrıştırmaktan sorumlu olan bu yöntem, BlockMkParseDisplayNameOnCurrentThread bayrağını ayarlamaz. Sonuç olarak, bileşik takma adların işlenmesine izin verir ve güvenli olmayan MkParseDisplayName işlevini tetikler.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Saldırı, bir resim etiketi URL’sinde bileşik bir takma adın geçirilmesini içerir. Bu, köprü metni oluşturma işlevinde uygulanan güvenlik önlemlerini atlatır ve potansiyel uzaktan kod yürütme ve yerel NTLM kimlik bilgisi sızıntılarına yol açar.
Microsoft’un Yaması
Microsoft’un CVE-2024-38021 yaması, HrPmonFromUrl işlevindeki BlockMkParseDisplayNameOnCurrentThread bayrağını kullanarak önceki güvenlik açığına benzer bir yaklaşım izliyor. Bu, görüntü etiketi URL’lerindeki bileşik takma adlar için güvenlik açığı olan MkParseDisplayName işlevinin çağrılmasını engelliyor.
Ancak araştırmacılar, basit bir dosya adının geçirilmesinin bile yerel NTLM kimlik bilgisi sızıntılarına yol açtığını keşfettiler; bu da yamanın tüm potansiyel güvenlik risklerini tam olarak ele almadığını gösteriyor.
Microsoft bu güvenlik açığını, güvenilir ve güvenilmeyen göndericileri birbirinden ayıran “Önemli” önem derecesiyle değerlendirdi. Güvenilir göndericilerde güvenlik açığı sıfır tıklamalıyken, güvenilmeyen göndericilerde tek tıklamalı kullanıcı etkileşimi gerekir.
Daha geniş kapsamlı etkileri ve özellikle güvenilir gönderenler için sıfır tıklama özelliği nedeniyle yaygın etki potansiyeli göz önüne alındığında, Morphisec Microsoft’tan ciddiyet düzeyini yeniden değerlendirmesini ve bunu “Kritik” olarak etiketlemesini talep etti.
Kuruluşlara şiddetle şu tavsiyelerde bulunulmaktadır:
- Tüm Microsoft Outlook ve Office uygulamalarınızı derhal güncelleyin.
- Otomatik e-posta önizlemelerini devre dışı bırakmak da dahil olmak üzere güçlü e-posta güvenlik önlemlerini uygulayın.
- Kullanıcıları bilinmeyen kaynaklardan gelen e-postaları açmanın riskleri konusunda eğitin.
Ayrıca, Otomatik Hareketli Hedef Savunma (AMTD) tekniklerinin uygulanması, CVE-2024-38021 gibi güvenlik açıklarından kaynaklanan istismar riskini önemli ölçüde azaltabilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces