Yeni detaylar, son Windows CVE-2021-40444 sıfır gün güvenlik açığı, saldırılarda nasıl kullanılacağına ve tehdit aktörünün kurumsal ağları ele geçirmenin nihai hedefi hakkında ortaya çıkmıştır.
CVE-2021-40444 olarak izlenen bu Internet Explorer MSHTML uzaktan kod yürütme güvenlik açığı, Salı günü Microsoft tarafından açıklandı, ancak henüz yamalı olmadığı için birkaç detay ile.
Microsoft tarafından paylaşılan tek bilgi, güvenlik açığının, etkilenen bir bilgisayarda kötü amaçlı yazılımları indirip yüklemek için Windows 10'da Office 365 ve Office 2019'u kullanmak için kötü amaçlı ActiveX denetimlerini kullanmasıdır.
O zamandan beri, araştırmacılar saldırılarda kullanılan kötü amaçlı kelime belgelerini buldular ve güvenlik açığının nasıl kullanıldığı hakkında yeni bilgiler öğrendiler.
Bu güvenlik açığının piyasaya sürülmesinden bu yana, güvenlik araştırmacıları, Microsoft Office'in 'korumalı görünüm' özelliği istismarını engellemesine rağmen, ne kadar tehlikeli olmanın ne kadar tehlikeli olduğunu uyaracak şekilde twitter'a götürdüler.
Office bir belge açtığında, internetten kaynaklandığı anlamına gelen bir "Web işareti" (MOTW) (MOTW) ile etiketlenmeyi kontrol eder.
Bu etiket varsa, Microsoft belgeyi salt okunur modda açar, kullanıcının 'Düzenleme'yi Etkinleştir' düğmelerini tıklamadıkça, kullanıcıyı etkin bir şekilde engelleyecektir.
"Korunan görünüm" özelliği, istismarını azalttıkça, Güvenlik Araştırmacılarının neden bu güvenlik açığı konusunda endişelendiğini öğrenmek için CERT / CC'nin güvenlik açığı analisti olan Dormann'a ulaştık.
Dormann, BleepingComputer'a, kullanıcının başlangıçta Office'in 'korumalı görünüm' özelliği ile korunması durumunda, tarih, birçok kullanıcının bu uyarıyı görmezden geldiğini ve yine de 'Düzenleme'yi Etkinleştir' düğmesini tıkladığını gösterdi.
Dormann ayrıca, bir belgenin MOTW bayrağını almaması için çok sayıda yolu var, bu savunmayı etkili bir şekilde olumsuzlar.
"Belge, MOTW-farkında olmayan bir şey tarafından işlenen bir konteynerdeyse, o zaman kabın internetten indirildiği gerçeği, örneğin, 7ZIP, İnternetten gelen bir arşivi açarsa, Çıkarılan içeriklerin internetten geldiğine dair bir göstergeye sahip olmayacaktır. Yani hiçbir MOTW, korumalı görünüm yok. "
"Benzer şekilde, belge bir ISO dosyası gibi bir kapsamdaysa, bir Windows kullanıcısı açmak için ISO'yu çift tıklayabilir. Ancak Windows, içeriğe internetten geldiği gibi davranmaz. Yani tekrar, hiçbir motw , korumalı görünüm yok. "
"Bu saldırı makrolardan daha tehlikelidir, çünkü makro yürütmeyi devre dışı bırakmayı veya başka bir şekilde sınırlandırmayı seçen herhangi bir kuruluş, yalnızca bir ofis belgesinin açılmasının bir sonucu olarak rastgele kod yürütülmesine açık olacaktır." - dormann olacak
Sorunları daha da kötü hale getirmek için Dormann, Office'in korunan görünüm güvenlik özelliğinden faydalanmayan RTF dosyalarındaki bu güvenlik açığını kullanabileceğinizi keşfetti.
@BuffaloverFlow'dan ilham aldım, RTF saldırı vektörünü test ettim. Ve oldukça güzel çalışıyor. Korunan modunuz şimdi nerede? pic.twitter.com/qf021vyo2r
Microsoft ayrıca, ActiveX denetimlerinin Internet Explorer'da çalışmasını önlemek için, akım saldırılarını etkin bir şekilde engellemek için azaltmayı paylaştı.
Bununla birlikte, güvenlik araştırması yapan Kevin Beaumont, bu güvenlik açığından yararlanmak için Microsoft'un güncel azaltmalarını atlamanın bir yolunu zaten keşfetti.
Bu bypasses ve ek kullanım durumlarıyla, CVE-2021-40444, başlangıçta düşünülenden daha da şiddetli hale geldi.
Saldırılarda kullanılan gerçek kimlik avı e-postalarına sahip değilken, Beaumont, istismarın nasıl çalıştığını daha iyi anlamak için kötü amaçlı Word belgesini analiz etti.
Böyle bir hafta ya da daha fazla vahşi doğada gibi görünüyor. Draft'ı, Word'ün Internet'ten bir şablon yüklemesini sağlayan, yani ve ardından JS ve ActiveX denetimlerine güvenirken, ardından .cpl dosyası https: // t././. (Evet. co / movan9ylj6 pic.twitter.com/xlf2jvwyy5
Saldırılarda kullanılan bilinen kötü amaçlı sözcük eklerinden biri, 'Mahkemeden önce bir mektup, "[Virustotal]' nin bir mektup olarak adlandırılır ve bir avukattan bir mektup olduğunu iddia eder.
Dosya internetten indirildiğinden, 'Web'nin işareti' ile etiketlenecek ve aşağıda gösterildiği gibi korumalı görünümde açılacaktır.
Kullanıcı 'Düzenleme Etkinleştir'i' düğmesini tıkladığında, Exploit, 'MHTML' protokolünü kullanarak bir URL'yi, bir Word şablonu olarak yüklenen uzak bir sitede barındırılan 'SIDE.HTML' [Virustotal] dosyasına bir URL'yi açacaktır.
'MHTML' URL'leri Internet Explorer'a kaydedildiği gibi, tarayıcı HTML'yi yüklemeye başlayacak ve şaşkın olan JavaScript kodu, kötü amaçlı bir ActiveX kontrolü oluşturarak CVE-2021-40444 güvenlik açığını istifa edecektir.
Bu ActiveX denetimi, bir bakanlığı uzak bir sitedeki bir bakanlığı indirir, bir şampiyonluğunu çıkarın. bir trend mikro raporundan aşağıda.
Trendmicro, nihai yükün, tehdit aktörünün cihaza uzaktan erişim kazanmasını sağlayacak bir Kobalt Strike BeaCon'u kurduğunu belirtir.
Saldırgan, mağdurların bilgisayarlarına uzaktan erişim kazandığında, ağ boyunca yanal olarak yayılmak ve daha fazla kötü amaçlı yazılım yüklemek, dosyaları çalmak veya Ransomware'i dağıtmak için kullanabilirler.
Bu kırılganlığın ciddiyeti nedeniyle, kullanıcıların yalnızca güvenilir bir kaynaktan gelmedikleri sürece ekleri açmasının şiddetle tavsiye edilir.
Microsoft'un yama Salı günü gelecek hafta ise, Microsoft'un hatayı düzeltmek için yeterli zamana sahip olacağı ve o zamana kadar yeterince test edilmesi durumunda belirsizdir.
Forumları Hacking'te Paylaşılan Windows MSHTML Sıfır-Gün Kullanımı
Google Yamaları 10. Chrome Sıfır Günü, bu yıl vahşi doğada sömürüldü
Microsoft'un eksik printnightMare yaması güvenlik açığını düzeltemez
Microsoft, başka bir Windows yazdırma biriktiricisi sıfır gün böcek onaylar
Microsoft Ağustos 2021 Yama Salı Düzeltmeler 3 Sıfır Gün, 44 Kusur
Kaynak: Bleeping Computer