Microsoft bugün birden çok Windows ve Office ürününde, kötü amaçlı Office belgeleri aracılığıyla uzaktan kod yürütme elde etmek için vahşi ortamda kullanılan yama uygulanmamış bir sıfır gün güvenlik açığını açıkladı.
Kimliği doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektirmeden yüksek karmaşıklıktaki saldırılarda güvenlik açığından (CVE-2023-36884 olarak izlenir) yararlanabilir.
Başarılı bir istismar, saldırganların hassas bilgilere erişmesine, sistem korumasını kapatmasına ve güvenliği ihlal edilmiş sisteme erişimi reddetmesine olanak tanıyarak gizliliğin, kullanılabilirliğin ve bütünlüğün tamamen kaybolmasına neden olabilir.
Redmond bugün “Microsoft, Windows ve Office ürünlerini etkileyen bir dizi uzaktan kod yürütme güvenlik açığı raporlarını araştırıyor. Microsoft, özel hazırlanmış Microsoft Office belgelerini kullanarak bu güvenlik açıklarından yararlanmaya çalışan hedefli saldırıların farkındadır” dedi.
“Bir saldırgan, kurbanın bağlamında uzaktan kod yürütmesini sağlayan, özel olarak hazırlanmış bir Microsoft Office belgesi oluşturabilir. Ancak, bir saldırganın kurbanı kötü amaçlı dosyayı açmaya ikna etmesi gerekir.”
Kusur henüz ele alınmamış olsa da Microsoft, müşterilere aylık sürüm süreci veya bant dışı bir güvenlik güncellemesi yoluyla yamalar sağlayacağını söylüyor.
Azaltma önlemleri mevcut
Microsoft, CVE-2023-36884 yamaları kullanıma sunulana kadar, Office için Defender kullanan müşterilerin ve “Tüm Office uygulamalarının alt süreçler oluşturmasını engelle” Saldırı Yüzeyi Azaltma Kuralını etkinleştirenlerin, açıktan yararlanmaya çalışan kimlik avı saldırılarına karşı korunduğunu söylüyor.
Bu korumaları kullanmayanlar, aşağıdaki uygulama adlarını HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION veri 1 ile REG_DWORD türündeki değerler olarak kayıt defteri anahtarı:
- excel.exe
- Grafik.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- wordpad.exe
Ancak, bu kayıt defteri anahtarının kötüye kullanım girişimlerini engelleyecek şekilde ayarlanmasının, yukarıda listelenen uygulamalarla bağlantılı bazı Microsoft Office işlevlerini de etkileyebileceğini unutmamak önemlidir.
NATO Zirvesi katılımcılarını hedef alan saldırılarda istismar edildi
Ayrı bir blog gönderisinde şirket, CVE-2023-36884 hatasının Litvanya’nın Vilnius kentindeki NATO Zirvesi’ne katılan kuruluşları hedef alan son saldırılarda kullanıldığını söylüyor.
Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) ve BlackBerry’nin istihbarat ekibiyle birlikte araştırmacılar tarafından yayınlanan raporlarda belgelendiği üzere, saldırganlar, MagicSpell yükleyici ve RomCom arka kapısı da dahil olmak üzere kötü amaçlı yazılım yükleri yüklemek için Ukrayna Dünya Kongresi örgütünü taklit eden kötü amaçlı belgeler kullandı.
BlackBerry güvenlik araştırmacıları, “Başarılı bir şekilde yararlanılırsa, bir saldırganın güvenlik açığından yararlanmak için tasarlanmış kötü amaçlı bir .docx veya .rtf belgesi oluşturarak uzaktan kod yürütme (RCE) tabanlı bir saldırı gerçekleştirmesine olanak tanır.”
“Bu, MSDT’nin savunmasız bir sürümünü yürütmek için özel olarak hazırlanmış belgeden yararlanılarak elde edilir ve bu da bir saldırganın yürütme için yardımcı programa bir komut iletmesine olanak tanır.”
Microsoft ayrıca Salı günü yaptığı açıklamada, “Aktörün Haziran 2023’te tespit edilen son kampanyası, CVE-2023-36884’ün RomCom ile benzerliklere sahip bir arka kapı sağlamak için kötüye kullanılmasını içeriyordu.”
RomCom’un fidye yazılımı bağlantıları
RomCom, Redmond’a göre muhtemelen istihbarat operasyonlarını desteklemeyi amaçlayan, kimlik bilgilerini çalmaya odaklanan kampanyaların yanı sıra fidye yazılımı ve gasp saldırılarıyla tanınan Rus merkezli bir siber suç grubudur (Storm-0978 olarak da izlenir).
Çete daha önce Industrial Spy fidye yazılımı operasyonuyla bağlantılıydı, şimdi ise Underground adlı fidye yazılımına geçti.
MalwareHunterTeam, fidye notunda bahsedilen TOX Kimliği ve e-posta adresini araştırırken Küba fidye yazılımı operasyonuyla tuhaf bir ilişki de ortaya çıkardı.
VirusTotal’a yüklenen bir Endüstriyel Casus fidye yazılımı örneğinin, Küba tarafından kullanılanla aynı TOX kimliği ve e-posta adresinin yanı sıra Küba’nın veri sızıntısı sitesine bağlantılar içeren bir fidye notu oluşturduğunu gözlemlediler.
Ancak, sağlanan bağlantı kullanıcıları Industrial Spy veri sızıntısı sitesine yönlendirmek yerine Cuba Ransomware’in Tor sitesine yönlendirdi. Ek olarak, fidye notu aynı dosya adını kullandı, !! READ ME !!.txt, daha önce tanımlandığı gibi Küba fidye notları.