Microsoft Word'de uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığı olan CVE-2023-21716 için bir kavram kanıtı hafta sonu yayınlandı.
Güvenlik açığı, 10 şiddet puanından 9.8'i atandı ve Microsoft, Şubat Yaması Salı günü güvenlik güncellemelerinde birkaç geçici çözümle hitap etti.
Şiddet skoru esas olarak, sömürmek için gereken ayrıcalık eksikliği ve kullanıcı etkileşimi ile birlikte düşük saldırı karmaşıklığı ile verilir.
Güvenlik araştırmacısı Joshua Drake, geçen yıl Microsoft Office’in “wwlib.dll” deki güvenlik açığını keşfetti ve Microsoft'a sorunun kullanılabilir olduğunu gösteren konsept kanıtı (POC) kodu içeren bir teknik danışma gönderdi.
Uzak bir saldırgan, kötü niyetli bir .rtf belgesi açan kurbanla aynı ayrıcalıklarla kod yürütmek için sorundan yararlanabilir.
Kötü amaçlı dosyayı bir kurbana teslim etmek, birçok başka yöntem mevcut olmasına rağmen, bir e -postaya ek olarak kolay olabilir.
Microsoft, kullanıcıların kötü amaçlı bir RTF belgesi açması gerekmediği konusunda uyarıyor ve dosyayı önizleme bölmesine yüklemenin, uzlaşmanın başlaması için yeterli.
Araştırmacı, Microsoft Word'deki RTF ayrıştırıcısının, “aşırı sayıda yazı tipi (*\ f ###*) içeren bir yazı tipi tablosu (*\ fonttbl*) ile uğraşırken tetiklenen bir yığın yolsuzluk kırılganlığına sahip olduğunu açıklıyor.
Drake, bellek bozulması meydana geldikten sonra ek işlemlerin olduğunu ve bir tehdit oyuncunun “uygun şekilde hazırlanmış bir yığın düzeni” kullanarak keyfi kod yürütme hatasından yararlanabileceğini söylüyor.
Araştırmacıdan POC, yığın yolsuzluk sorununu gösterir, ancak kod yürütme göstermek için Windows'ta hesap makinesi uygulamasını başlatmayı bırakır.
Başlangıçta, POC'nin yorumlar da dahil olmak üzere bir düzineden fazla çizgisi vardı. Rapor, Kasım 2022'de Microsoft'a gönderildiğinden beri, araştırmacı bazı satırları kesti ve her şeyi bir tweet'e uydurmayı başardı:
Şu anda kırılganlığın vahşi doğada kullanıldığına dair bir gösterge yok ve Microsoft’un mevcut değerlendirmesi, sorundan yararlanmanın “daha az olası” olduğudur.
Bunun gibi kritik güvenlik açıkları, tehdit aktörlerinin dikkatini çeker, daha gelişmiş olanlar, onu kullanmanın bir yolunu bulmak için düzeltmeyi tersine çevirmeye çalışır.
Tipik olarak, istismar kodu kullanıma sunulduğunda, bir POC'yi değiştirmek için sıfırdan bir istismar almaktan daha az çaba gerektiğinden, daha büyük bir saldırgan havuzu güvenlik açığını kullanmaya başlar.
Joshua Drake'den gelen mevcut POC'nin tam gelişmiş bir sömürü haline getirilip silahlandırılamayacağı belli değil, çünkü sadece kanıtlamadan mümkün olduğunu gösteriyor.
Ancak, bu Microsoft Word'de bir uzaktan kod yürütülmesi çok sevilir ve e-posta yoluyla kötü amaçlı yazılımların geniş ölçekli dağılımına izin verir.
Microsoft Excel denklem düzenleyicisinde benzer bir güvenlik açığı uzun zamandan beri yamalandı ve bugün hala bazı kampanyalarda kullanılmaktadır.
Güvenlik açığından etkilenen Microsoft Office ürünlerinin tam bir listesi, satıcının CVE-2023-21716 danışmanlığında mevcuttur.
Düzeltmeyi uygulayamayan kullanıcılar için Microsoft, e -postaları düz metin biçiminde okumanızı önerir, sonuçta ortaya çıkan rahatsızlıklar (görüntü eksikliği ve zengin içerik) nedeniyle kabul edilmesi muhtemel değildir.
Başka bir geçici çözüm, ofis uygulamalarının bilinmeyen veya güvenilmeyen kökenli RTF belgelerini açmasını önleyen Microsoft Office dosya bloğu politikasını etkinleştirmektir.
Bu yöntem Windows kayıt defterinin değiştirilmesini gerektirir ve ayrıca bir uyarı ile birlikte gelir: “Kayıt Defteri Düzenleyicisi'ni yanlış kullanıyorsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz.”
Ayrıca, “muaf bir dizin” belirlenmediyse, kullanıcılar herhangi bir RTF belgesi açamama riskini taşırlar.
Tam bir istismar şu anda mevcut olmasa ve sadece teorik olsa bile, güvenlik güncellemesini Microsoft'tan kurmak, güvenlik açığı ile başa çıkmanın en güvenli yolu olmaya devam etmektedir.
Kritik VMware Vrealize RCE Güvenlik Açığı
Araştırmacılar Kritik Yönetme RCE Hata için POC istismarını serbest bırakacaklar, şimdi Patch
Kritik Fortinet RCE kusuru için piyasaya sürülen istismar, şimdi yama
Araştırmacılar VMware Vrealize Log RCE istismarını yayınlayacak, şimdi Patch
CISA, hackerların ZK Java Çerçevesi RCE Kusurdan yararlanması konusunda uyarıyor
Kaynak: Bleeping Computer