Microsoft'tan daha fazla bilgi ile güncelleyin.
Microsoft, Office 2016'yı etkileyen NTLM karmalarını uzak bir saldırgana maruz bırakabilecek yüksek şiddetli bir kırılganlığı açıkladı.
CVE-2024-38200 olarak izlenen bu güvenlik kusuru, yetkisiz aktörlerin korunan bilgilere erişmesini sağlayan bir bilgi açıklaması zayıflığından kaynaklanır.
Office 2016, Office 2019, Office LTSC 2021 ve Enterprise için Microsoft 365 uygulamaları dahil olmak üzere birden fazla 32 bit ve 64 bit ofis sürümünü etkiler.
Microsoft'un sömürülebilirlik değerlendirmesi, CVE-2024-38200'ün sömürülmesinin daha az olası olduğunu söylese de, MITER bu tür zayıflık için sömürü olasılığını oldukça olası olarak etiketledi.
Microosoft'un danışmanlığı, "Web tabanlı bir saldırı senaryosunda, bir saldırgan bir web sitesine ev sahipliği yapabilir (veya güvenlik açığından yararlanmak için tasarlanmış özel hazırlanmış bir dosya içeren bir web sitesine ev sahipliği yapabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran uzlaşmış bir web sitesinden yararlanabilir)."
"Ancak, bir saldırganın kullanıcıyı web sitesini ziyaret etmeye zorlamanın hiçbir yolu olmayacaktır. Bunun yerine, bir saldırganın kullanıcıyı bir bağlantıyı tıklamaya ikna etmesi gerekir, tipik olarak bir e -posta veya anlık messenger mesajında bir ilgi yoluyla ve sonra ikna etmek gerekir. Kullanıcı özel hazırlanmış dosyayı açacak. "
Şirket, bu hatayı ele almak için güvenlik güncellemeleri geliştiriyor, ancak henüz bir çıkış tarihi duyurmadı.
Bu makaleyi yayınladığından beri Microsoft, CVE-2024-38200 Kusur hakkında daha fazla bilgi paylaştı ve 7/30/2024 tarihinde özellik uçuşuyla bir düzeltme yayınladıklarını belirtti.
Güncellenmiş CVE-2024-38200 danışmanlığını okurken, "Hayır, 7/30/2024 tarihinde özellik uçuşuyla etkinleştirdiğimiz bu soruna alternatif bir düzeltme belirledik."
"Müşteriler zaten Microsoft Office ve Microsoft 365'in tüm destek içi sürümlerinde korunuyor. Müşteriler yine de FIX'in son sürümü için 13 Ağustos 2024 güncellemelerini güncellemeli."
Danışma ayrıca, bu kusurun uzak NTLM trafiğini uzak sunuculara engelleyerek hafifletilebileceğini belirtir.
Microsoft, aşağıdaki üç yöntemi kullanarak giden NTLM trafiğini engelleyebileceğinizi söylüyor:
Bu hafifletmelerden herhangi birini kullanan Microsoft notları, NTLM kimlik doğrulamasına dayanan uzak sunuculara meşru erişimi önleyebilir.
Microsoft güvenlik açığı hakkında daha fazla ayrıntı paylaşmasa da, bu rehber, bir saldırganın sunucusundaki bir KOBİ payı gibi giden bir NTLM bağlantısını zorlamak için kusurun kullanılabileceğini gösterir.
Bu olduğunda, Windows, saldırganın çalabileceği karma şifresi de dahil olmak üzere kullanıcının NTLM karmalarını gönderir.
Geçmişte tekrar tekrar gösterildiği gibi, bu karmalar kırılabilir ve tehdit aktörlerinin giriş adlarına ve düz metin şifrelerine erişmesine izin verir.
NTLM karmalar, bir ağdaki diğer kaynaklara erişmek için daha önce ShadowCoerce, DFSCOerce, Petitpotam ve Remototepotato0 saldırılarında görüldüğü gibi NTLM rölesi saldırılarında da kullanılabilir.
Microsoft, kusurların keşfini PrivSec Danışmanlık Güvenlik Danışmanı Jim Rush ve Synack Red Team üyesi Metin Yunus Kandemir'e bağladı.
PrivSec'in Genel Müdürü Peter Jakowetz, BleepingComputer'a Rush'ın yaklaşan "NTLM - The Last Ride" Defcon konuşmasında bu güvenlik açığı hakkında daha fazla bilgi açıklayacağını söyledi.
"Microsoft'a açıkladığımız birkaç yeni hataya (mevcut bir CVE'ye bir düzeltme atlamak dahil), bazı ilginç ve kullanışlı teknikleri, bazı beklenmedik keşiflerle ve bazı kesinlikle pişmiş hatalarla sonuçlanan teknikleri birleştirerek derin bir dalış olacak" Rush açıklıyor.
"Ayrıca, Microsoft NTLM ile ilgili güvenlik kontrollerinin bazılarında mantıklı kütüphanelerde veya uygulamalarda var olmaması gereken bazı varsayılanları da ortaya çıkaracağız."
Microsoft ayrıca, güncel Windows sistemlerini "açmak" ve eski güvenlik açıklarını yeniden sunmak için kullanılabilecek sıfır günlük kusurların yamalanması üzerinde çalışıyor.
Şirket ayrıca bu haftanın başlarında, 2018'den beri Windows Smart App kontrolü olan SmartScreen Bypass'ın yama yapmayı düşündüğünü söyledi.
Güncelleme 8/10/24: Microsoft'tan kusuru azaltma hakkında ek bilgi eklendi.
Microsoft 365 anti-phishish özelliği CSS ile atlanabilir
Microsoft Temmuz 2024 Patch Salı 142 Kusur, 4 Sıfır Gün
Windows 10 KB5040427 Güncellemesi Copilot Değişiklikleri, 12 Düzeltme ile Yayınlandı
Microsoft 8 yıl sonra Windows Paint 3D uygulamasını öldürüyor
Microsoft Visio ile karmaşık verileri Pro kaliteli görsellere dönüştürün
Kaynak: Bleeping Computer