Skip to main content

Ad Code

Microsoft tarafından yayınlanan sıfır günlük yama, saldırganlar tarafından bir yıldan uzun süredir istismar ediliyor (CVE-2024-38112)

Microsoft’un Windows MSHTML Platformunda bir sahtecilik açığı olan CVE-2024-38112 piyasaya sürülmüş. Salı günü yapılan bir düzeltmenin, muhtemelen bir yıldan uzun süredir saldırganlar tarafından istismar edildiğini Check Point araştırmacısı Haifei Li açıkladı.

“Check Point Research yakın zamanda tehdit aktörlerinin uzaktan kod yürütme için Windows kullanıcılarını cezbetmek amacıyla yeni (veya daha önce bilinmeyen) numaralar kullandığını keşfetti. Saldırganlar özellikle, tıklandığında emekliye ayrılmış Internet Explorer’ı (IE) saldırganın kontrol ettiği URL’yi ziyaret etmeye çağıran özel Windows İnternet Kısayolu dosyaları (.url uzantı adı) kullandılar,” diye açıkladı.

“Saldırgan, Windows’taki modern ve çok daha güvenli Chrome/Edge tarayıcısı yerine IE ile URL’yi açarak, kurbanın bilgisayarını istismar etmede önemli avantajlar elde etti; oysa bilgisayar modern Windows 10/11 işletim sistemini çalıştırıyor.”

Sıfır günlük riskten yararlanma

CVE-2024-38112’yi istismar etmek için özel olarak tasarlanmış bir dosya – örneğin, Kitaplar_A0UJKO.pdf.url – Microsoft Edge uygulama dosyasında özelleştirilmiş bir simgeye işaret edeceği için çoğu Windows kullanıcısına zararsız bir dosya gibi görünecektir (msedge.exe) – bu durumda, PDF dosyaları için bir simge.

Dosya, saldırganların daha fazla güvenlik ihlaline yol açabileceği bir saldırgan tarafından kontrol edilen web sitesini açmaya zorlamak için MHTML: URI işleyicisini kullanır.

Araştırmacı, “Örneğin saldırganın, Chrome/Edge ile karşılaştırıldığında bulunması çok daha kolay olan bir IE sıfır-gün açığı varsa, saldırgan uzaktan kod yürütmeyi hemen elde etmek için kurbana saldırabilir” dedi.

“Ancak analiz ettiğimiz örneklerde, tehdit aktörleri herhangi bir IE uzaktan kod yürütme açığı kullanmadı. Bunun yerine, IE’de muhtemelen daha önce kamuoyu tarafından bilinmeyen başka bir hile kullandılar – bilgimiz dahilinde – kurbanı uzaktan kod yürütme elde etmeye kandırmak için.”

Bu hile, saldırganların dosyanın gerçek doğasını, onu açmak isteyen kullanıcıdan gizlemeye devam etmesini sağlar; kullanıcı, birkaç açılır uyarıya tıklayarak dosyayı açmaya çalışır; PDF dosyası aslında kötü amaçlı bir HTA’dır (HTML uygulaması) dosyası, RCE’yi çalıştırır ve etkinleştirir.

“Keşfettiğimiz kötü amaçlı .url örnekleri Ocak 2023’ten (bir yıldan fazla) en geç 13 Mayıs 2024’e kadar uzanıyor olabilir (…). Bu, tehdit aktörlerinin saldırı tekniklerini oldukça uzun bir süredir kullandığını gösteriyor,” diyor araştırmacı.

Microsoft, Mayıs ayında bilgilendirildi ve sonunda bir yama yayınlandı. URL dosyalarının MHTML: URI işleyicisini tetiklemesini önler. Yöneticilerin bunu hızlı bir şekilde uygulamaları önerilir. Kullanıcılara ayrıca güvenilmeyen kaynaklardan gelen URL dosyalarını açarken dikkatli olmaları ve dikkatli bir inceleme yapmadan işletim sistemi güvenlik uyarılarını geçmemeleri önerilir.

CISA, CVE-2024-38112 numaralı güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek, ABD federal sivil yürütme organı kurumlarına 30 Temmuz’a kadar yamayı uygulamalarını emretti.

CVE-2024-38021: Er ya da geç düzeltilmesi gereken bir diğer kusur

Morphisec araştırmacıları uyarıldı. Uzaktan istismar edilebilen ve RCE’ye yol açabilen bir Microsoft Office güvenlik açığı olan CVE-2024-38021 için yamanın da er ya da geç uygulanması gerektiği belirtildi.

Microsoft’un verilen Kusurun “Önemli” bir önem derecesi olduğunu söylüyorlar, ancak “güvenilir gönderenler için sıfır tıklama niteliği ve kimlik doğrulama gereksinimlerinin olmaması” nedeniyle kritik olarak değerlendirilmesi gerektiğini savunuyorlar.

Araştırmacılar, önümüzdeki ay Las Vegas’ta düzenlenecek DEF CON 32 konferansında CVE-2024-38021 için teknik detayları ve bir PoC yayınlayacaklar, bu yüzden yamayı ondan önce edinin.

Yorum Gönder

0 Yorumlar