Microsoft yakın zamanda, kritik bir Outlook güvenlik açığı olan CVE-2023-23397’nin şu anda Forrest Blizzard olarak bilinen Rus devleti destekli bir tehdit aktörü tarafından vahşi doğada istismar edildiğini bildirdi.
Bu güvenlik açığı, tehdit aktörlerinin, saldırgan tarafından kontrol edilen sunucuyla bağlantı kurarken NTLM kimlik bilgilerini çıkararak bir Outlook istemcisinden yararlanmasına olanak tanıdı. Üstelik bu güvenlik açığının sıfır tıklama güvenlik açığı olduğu da biliniyordu.
CVE-2023-23397, Mart 2023 güvenlik yamalarının bir parçası olarak yama uygulandı. Ancak Microsoft’un yayınladığı yamaya geçici çözüm olarak yeni bir bypass keşfedildi. Bu baypasa CVE-2023-35384 ve önem derecesi 6,5 (Orta).
Buna ek olarak Windows Media Foundation Core’da bulunan yeni bir uzaktan kod yürütme güvenlik açığı da keşfedildi. Bu güvenlik açığına CVE-2023-36710 atanmış ve önem derecesi 7,8 (Yüksek).
CVE-2023-35384: Windows HTML Platformları Güvenlik Özelliği Güvenlik Açıklarını Atlama
Bu güvenlik açığı, yol ayırıcının ileri eğik çizgi veya geriye eğik çizgi olabileceği CreateFile’da bulunmaktadır. Ancak MapUrlToZone işleviyle yalnızca tam “\\.\” veya “\\?\” yolları yerel aygıt yolları olarak kabul edilir. Bu, yol türü karışıklığına neden olur.
Başka bir deyişle, CreateFile hazırlanmış girişi Windows Yerel Yolu olarak ele alırken, MapUrlToZone bunu bir URL olarak ele alır. Bu, güvenlik düzeltme ekini atlamanın bir yolu olarak Outlook’a kötü amaçlı bir ses dosyası yüklemek için bir avantaj olarak kullanılabilir.
Kötü amaçlı bir ses dosyası, Ses Sıkıştırma Yöneticisindeki mapWavePrepareHeader işleviyle oynatılıyor. Bu işlev, akışın boyutunu denetlemediği için tamsayı taşması saldırısına karşı savunmasızdır.
Saldırgan, boyutu 0xffffff50’den büyük veya eşit olan kötü amaçlı bir wave dosyası kullanabilir ve bu da bu güvenlik açığından yararlanılmasına neden olabilir. Hesaplamalara göre IMA ADP koduyla mümkün olan en küçük boyut 1 GB’dir.
Cyber Security News ile paylaşılan raporlara göre, bir saldırgan bu iki güvenlik açığını birleştirerek kurban üzerinde sıfır tıklamayla uzaktan kod yürütme gerçekleştirebiliyor. Her ne kadar Microsoft bu güvenlik açığını kapatmış olsa da tehdit aktörlerinin bu güvenlik açığından yararlanabilmesi için bypass yöntemlerinin olduğu hala ortada.
Ayrıca Akamai tarafından Outlook güvenlik açığı, kaynak kodu, işlevler, geçici çözümler ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayımlandı.
Microsoft ayrıca orijinal Outlook güvenlik açığının tespit edilmesi ve azaltılması konusunda da tam rehberlik sağlamıştır. Her kuruluşun, sağlanan adımları izlemesi ve güvenlik açıklarının kötüye kullanılmasını önlemek için düzeltmeleri önerilir.