Microsoft, Office 2016 ve daha sonra etkileyen ve hala bir yama beklediğini etkileyen yüksek arızalı bir sıfır günlük güvenlik açığını açıkladı.
CVE-2024-38200 olarak izlenen bu güvenlik kusuru, yetkisiz aktörlerin sistem durumu veya yapılandırma verileri, kişisel bilgiler veya bağlantı meta verileri gibi korumalı bilgilere erişmesini sağlayan bir bilgi açıklaması zayıflığından kaynaklanır.
Sıfır gün, Office 2016, Office 2019, Office LTSC 2021 ve Microsoft 365 uygulamaları dahil olmak üzere birden fazla 32 bit ve 64 bit ofis sürümünü etkiler.
Microsoft'un sömürülebilirlik değerlendirmesi, CVE-2024-38200'ün sömürülmesinin daha az olası olduğunu söylese de, MITER bu tür zayıflık için sömürü olasılığını oldukça olası olarak etiketledi.
Microosoft'un danışmanlığı, "Web tabanlı bir saldırı senaryosunda, bir saldırgan bir web sitesine ev sahipliği yapabilir (veya güvenlik açığından yararlanmak için tasarlanmış özel hazırlanmış bir dosya içeren bir web sitesine ev sahipliği yapabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran uzlaşmış bir web sitesinden yararlanabilir)."
"Ancak, bir saldırganın kullanıcıyı web sitesini ziyaret etmeye zorlamanın hiçbir yolu olmayacaktır. Bunun yerine, bir saldırganın kullanıcıyı bir bağlantıyı tıklamaya ikna etmesi gerekir, tipik olarak bir e -posta veya anlık messenger mesajında bir ilgi yoluyla ve sonra ikna etmek gerekir. Kullanıcı özel hazırlanmış dosyayı açacak. "
Şirket, bu sıfır gün hatasını ele almak için güvenlik güncellemeleri geliştiriyor, ancak henüz bir çıkış tarihi duyurmadı.
Redmond kusurla ilgili herhangi bir ayrıntı paylaşmasa da, keşfi PrivSec Consulting Güvenlik Danışmanı Jim Rush ve Synack kırmızı takım üyesi Metin Yunus Kandemir'e atfedildi.
PrivSec'in Genel Müdürü Peter Jakowetz, BleepingComputer'a Rush'ın yaklaşan "NTLM - The Last Ride" Defcon konuşmasında bu güvenlik açığı hakkında daha fazla bilgi açıklayacağını söyledi.
"Microsoft'a açıkladığımız birkaç yeni hataya (mevcut bir CVE'ye bir düzeltme atlamak dahil), bazı ilginç ve kullanışlı teknikleri, bazı beklenmedik keşiflerle ve bazı kesinlikle pişmiş hatalarla sonuçlanan teknikleri birleştirerek derin bir dalış olacak" Rush açıklıyor.
Diyerek şöyle devam etti: "Microsoft NTLM ile ilgili güvenlik kontrollerinden bazılarında bazı göze çarpan boşlukların yanı sıra mantıklı kütüphanelerde veya uygulamalarda bulunmaması gereken bazı varsayılanları da ortaya çıkaracağız."
CVE-2024-38200 güvenlik açığı ile ilgili daha fazla ayrıntı için bugün erken saatlerde BleepingComputer tarafından temasa geçildiğinde bir Synack sözcüsü hemen yorum yapmak için mevcut değildi.
Microsoft ayrıca, güncel Windows sistemlerini "açmak" ve eski güvenlik açıklarını yeniden tanıtmak için kullanılabilecek sıfır günlük kusurları yama üzerinde çalışıyor.
Şirket ayrıca bu haftanın başlarında, 2018'den beri Windows Smart App kontrolü olan SmartScreen Bypass'ın yama yapmayı düşündüğünü söyledi.
Windows Update Downgrade Saldırı "Uncatches" tam güncellenmiş sistemler
Google, Hedeflenen Saldırılarda Sözden Söz konusu Android Çekirdek Sıfır Günleri
Microsoft Office 2021 Lifetime Lisansını 60 $ 'a alın
Windows için Whatsapp Python'a izin verir, PHP komut dosyaları uyarı olmadan yürütülür
Windows veya Mac için Yaşam için Microsoft Office 2019'u 25 $ karşılığında alın
Kaynak: Bleeping Computer