Outlook’un, belirli köprüleri işlerken ilginç bir güvenlik açığına sahip olduğu keşfedildi ve bu güvenlik açığının, ortadaki tehdit aktörleri tarafından istismar edildiği tespit edildi. Bu güvenlik açığına CVE-2024-21413 atanmış ve önem derecesi 9,8 (Kritik).
Ancak Microsoft, bu güvenlik açığını giderdi ve Şubat 2024 tarihli Salı Yaması sürümünün bir parçası olarak düzeltti. Bu güvenlik açığından başarıyla yararlanılması, bir tehdit aktörünün Office korumalı görünümü atlamasına ve bir dosyayı “korumalı görünüm” yerine düzenleme modunda açmasına olanak verebilir. modu.”
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Outlook 0 günlük RCE Kusuru
Checkpoint raporuna göre, köprü http:// veya https:// ile başlıyorsa Outlook, URL’yi açmak için Windows’un varsayılan tarayıcısını kullanır. Ancak “Skype” URL protokolü gibi başka protokoller varsa, köprüye tıklandığında bir güvenlik uyarısı görüntülenecektir.
“file://” protokolü gibi diğer durumlarda Outlook bir uyarı iletişim kutusu görüntülemedi. Bunun yerine Windows Bildirim Merkezi’nde bir hata mesajı vardı ve bağlantı üzerinden erişilmeye çalışılan kaynağa da erişilemedi.
Dosyaya erişildiyse yerel NTLM kimlik bilgilerinin sızdırılmış olma ihtimali yüksektir.
#MonikerLink Hatası
“File://” protokol bağlantısındaki küçük bir değişiklik, daha önce gösterilen güvenlik kısıtlamasını atlar ve kaynağa erişime devam eder. Test amacıyla uzak kaynaktaki “test.rtf” dosyasına başarıyla erişilen aşağıdaki bağlantı kullanıldı.
| BENİ TIKLA |
Araştırmacıların belirttiği gibi bu kaynağa erişim, süreç sırasında yerel NTLM kimlik bilgilerini sızdıran SMB protokolünü kullanıyor. Dahası, araştırmacılar bu saldırı vektörünü keyfi kod yürütmeye yükseltmeyi de denediler.
Moniker Link dizesi, Windows’ta COM (Bileşen Nesne Modeli) nesneleri için “arama”yı kullanır. Outlook, bu işi yapmak için ole32!MkParseDisplayName() API’sini çağırır. Microsoft’un Moniker için API belgesine göre, “!” dahil onu bileşik bir lakap haline getiriyor.
Sömürü
Araştırmacılar bu bileşik adı Microsoft Word’e erişmek için FileMoniker (\\10.10.111.111\test\test.rtf) + ItemMoniker (bir şey) ile birlikte kullandılar. Windows, Microsoft Word’ü arka planda COM sunucusu olarak çalıştırır.
Köprü tıklanırsa, Word açılır ve “\\10.10.111.111\test\test.rtf” dizesine göre “test.rtf” dosyasını ayrıştırır. Ancak bu test.rtf, saldırgan tarafından kontrol ediliyor ve bu saldırgan, “WINWORD.EXE” kullanılarak uzak sistemde rastgele kod yürütülmesini sağlayacak şekilde daha da değiştiriliyor.
Araştırmacılar, bu #MonikerLink hata/saldırı vektörünün başka yazılımlarda da bulunabileceğini belirtti ve ayrıca geliştiricilere sorunu kontrol edip düzeltmelerini önerdi.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.