Microsoft, geçen hafta sonu yaptığı açıklamada, saldırganların kullanıcıların NTLM karma değerlerini ele geçirmek için kullanabilecekleri yeni bir MS Office sıfırıncı gün açığını (CVE-2024-38200) duyurdu.
Bu güvenlik açığı uzaktan kullanılabiliyor ve tetiklenmesi için özel ayrıcalıklar veya kullanıcı etkileşimi gerekmiyor.
Şirket, “Web tabanlı bir saldırı senaryosunda, bir saldırgan, güvenlik açığından yararlanmak üzere özel olarak hazırlanmış bir dosya içeren bir web sitesine ev sahipliği yapabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran tehlikeye atılmış bir web sitesinden yararlanabilir)” dedi.
“Ancak, bir saldırganın kullanıcıyı web sitesini ziyaret etmeye zorlamasının bir yolu olmazdı. Bunun yerine, bir saldırganın kullanıcıyı bir bağlantıya tıklamaya ikna etmesi gerekirdi, genellikle bir e-posta veya Anlık Mesajlaşma mesajındaki bir teşvik yoluyla ve ardından kullanıcıyı özel olarak hazırlanmış dosyayı açmaya ikna etmesi gerekirdi.”
CVE-2024-38200 Hakkında
Siber güvenlik araştırmacıları PrivSec Consulting’den Jim Rush ve Synack’in Kırmızı Ekibi’nden Metin Yunus Kandemir tarafından Microsoft’a özel olarak bildirilen CVE-2024-38200, bir sahtecilik güvenlik açığı olarak sınıflandırılıyor.
Saldırganlar bir kurbanın NTLM karma değerini ele geçirdikten sonra, bunu başka bir servise iletebilir ve kurban olarak kimlik doğrulaması yapabilirler (yani, kimlik doğrulama aktarma saldırısı gerçekleştirebilirler).
Microsoft, Rush ve meslektaşı Tomais Williamson’ın Cumartesi günü DEF CON’da bu konuda konuşması planlandığı için henüz kesin bir çözüme sahip olmamasına rağmen bu açığı kamuoyuyla paylaştı.
Düzeltmeler ve hafifletmeler
CVE-2024-38200, şunların 64 bit ve 32 bit sürümlerini etkiler:
- Microsoft Office 2016
- Microsoft Office 2019
- Microsoft Office LTSC 2021 ve
- İşletmeler için Microsoft 365 Uygulamaları
Bunlar için son düzeltmeler yarın, Ağustos 2024 Salı Yaması’nda hazır olacak.
Ancak kullanıcılar istismara karşı savunmasız değil çünkü Microsoft 30 Temmuz 2024’te Özellik Uçuşu aracılığıyla alternatif bir düzeltme uyguladı. (Özellik Uçuşu, özellik bayrakları aracılığıyla belirli ürün özelliklerinin kontrollü bir şekilde kullanıma sunulması sürecidir.)
Microsoft, “Müşteriler zaten Microsoft Office ve Microsoft 365’in desteklenen tüm sürümlerinde korunuyor” dedi ancak “düzeltmenin nihai sürümü için 13 Ağustos 2024 güncellemelerine güncelleme yapmaya” çağırdı.
Şirket ayrıca, giden NTLM trafiğinin uzak sunuculara kısıtlanması, kullanıcıların Korunan Kullanıcılar Güvenlik Grubuna eklenmesi ve TCP 445 portundan giden trafiğin engellenmesi gibi bazı hafifletici faktörleri de özetledi.
NTLM resmi olarak kullanımdan kaldırıldı
NT LAN Yöneticisi (NTLM), Microsoft tarafından kullanıcı kimlik doğrulaması için sağlanan eski bir güvenlik protokolü paketidir, ancak Kerberos lehine resmi olarak kullanımdan kaldırılmıştır.
“NTLM kullanımı Windows Server’ın bir sonraki sürümünde ve Windows’un bir sonraki yıllık sürümünde çalışmaya devam edecek. NTLM’ye yapılan çağrılar, Kerberos ile kimlik doğrulaması yapmaya çalışacak ve yalnızca gerektiğinde NTLM’ye geri dönecek olan Negotiate çağrılarıyla değiştirilmelidir,” diye açıkladı Microsoft.
Şirket, saldırganların NTLM karma değerlerini çalmasına veya iletmesine olanak tanıyan güvenlik açıklarını düzenli olarak düzeltiyor.