Microsoft, bilgisayar korsanlarının kötü amaçlı Word belgeleri aracılığıyla yararlandığı bir Windows aracındaki sıfırıncı gün açığından ağlarını korumak için yöneticilere yönelik bir geçici çözümü ayrıntılı olarak açıkladı.
Bu hafta sonu, güvenlik araştırmacıları keşfetti kötü amaçlı örnek paylaşım hizmetine yüklenmiş kötü amaçlı bir Word belgesi VirüsToplam 25 Mayıs Belarus’taki bir IP adresinden.
Güvenlik araştırmacısı Kevin Beaumont, kötü amaçlı belgenin – veya “maldoc”un – makrolar devre dışı bırakılmış olsa bile meşru Microsoft Destek Tanılama Aracı (msdt.exe) aracılığıyla kod çalıştırabildiğini keşfetti. Kötü niyetli Word belgesi çağrıları MSDT Windows’ta ‘ms-msdt’ URL protokolü aracılığıyla.
Office Korumalı Görünüm – Internet’ten belgelerde makroların çalışmasını engelleyen bir özellik – beklendiği gibi çalışır. Ancak, Beaumont’a göre, Word belgesi Zengin Metin Biçimine (RFT) dönüştürülür ve ardından çalıştırılırsa kötü amaçlı kod yürütülebilir.
Tarif etti böcek makroları devre dışı bırakmak için kullanıcı talimatlarını dikkate almayan bir “Office ürünlerinde sıfır günlük kod yürütme kusuru” olarak. Keşfedildiği sırada Microsoft Defender’ın bu saldırı için algılaması yoktu, ancak o zamandan beri değişti.
Beaumont ve diğer araştırmacılara göre Word-RTF makro saldırısı, tamamen yamalı Office 2021, Office 2019, Office 2016 ve Office 2013 ürünlerinde çalıştı.
Microsoft bu hatayı tanımlayıcıyı atadı CVE-2022-30190. Şirket henüz bir yama yayınlamadı, ancak Microsoft Güvenlik Müdahale Merkezi (MSRC), “Windows’taki MSDT güvenlik açığı” açıklamasını ve ayrıntılı geçici çözümlerin yanı sıra saldırı imzalarıyla birlikte Defender’a bir güncelleme verdi.
“MSDT, Word gibi bir çağrı uygulamasından URL protokolü kullanılarak çağrıldığında bir uzaktan kod yürütme güvenlik açığı oluşur. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, çağıran uygulamanın ayrıcalıklarıyla rasgele kod yürütebilir. Saldırgan daha sonra programları yükleyebilir, görüntüleyebilir. , verileri değiştirmek veya silmek veya kullanıcı haklarıyla yetki verilen bağlamda yeni hesaplar oluşturmak”, MSRC dedi.
Microsoft’un girişi CVE-2022-30190 MSDT’yi tüm Windows ve Windows Server sürümlerinde etkilediğini gösterir.
Microsoft dosyalandı CVE-2022-30190 “önemli” bir önem derecesi kusuru olarak kabul etti ve MSDT URL protokolünü devre dışı bırakmak için aşağıdaki talimatları sağladı:
- Koşmak Komut istemi Mademki yönetici.
- Kayıt defteri anahtarını yedeklemek için “reg export HKEY_CLASSES_ROOTms-msdt” komutunu çalıştırın. dosya adı“.
- “reg delete HKEY_CLASSES_ROOTms-msdt /f” komutunu çalıştırın.
Microsoft ayrıca geçici çözümü geri almak için talimatlar sağlamıştır. Microsoft Defender Antivirus’e sahip müşterilerin bulut tarafından sağlanan korumayı ve otomatik numune gönderimini etkinleştirmelerini önerir.
Endpoint için Microsoft Defender’a (iş için) sahip müşteriler, Office uygulamalarının alt süreçler oluşturmasını engelleyen “BlockOfficeCreateProcessRule” saldırı yüzeyi azaltma kuralını etkinleştirebilir.
Microsoft, Defender antivirüsünün “sürüm kullanarak güvenlik açıklarının olası istismarı için algılamalar ve korumalar sağladığını söylüyor. 1.367.719.0 veya daha yeni bir sürüm”. Kötü amaçlı dosyaların imzaları aşağıdaki gibidir:
-
Truva:Win32/Mesdetty.A (İngilizcede) -
Truva:Win32/Mesdetty.B (İngilizcede) -
Davranış: Win32/MesdettyLaunch.A (Davranış: Win32/MesdettyLaunch.A) -
Davranış: Win32/MesdettyLaunch.B -
Davranış: Win32/MesdettyLaunch.C
MSRC, belge RTF’de yürütülürse saldırı konusunu ele almadı. Ancak şunu not eder: “Arayan uygulama bir Microsoft Office uygulamasıysa, Microsoft Office varsayılan olarak İnternet’ten gelen belgeleri Korumalı Görünüm veya Office için Uygulama Koruması’nda açar, bu da mevcut saldırıyı önler.”
Xavier Mertens tarafından tarif edildiği gibi SANS İnternet Fırtına Merkezi için, kötü amaçlı Word belgesini açarsanız, boş bir belge gibi görünen bir şey görüntülenir. Ancak, ms-msdt URL protokolü kullanılarak bir PowerShell yükünün alındığı kötü amaçlı bir URL’ye işaret eden harici bir referans içerir. Office, MSDT URL’sini otomatik olarak işler ve Powershell yükünü çalıştırır.
CERT/CC Güvenlik Açığı Analisti Will Dormann, Twitter’da not edildi kusurun “MSHTML kusuru CVE-2021-40444’e çok benzer” olduğunu eylül. Microsoft bu yeni kusur için bir yama yayınlamadığından, Dormann MSDT protokolünün devre dışı bırakılmasını önerir.
CERTFR, bu güvenlik açığıyla ilgili olarak Microsoft tarafından önerilen geçici çözümün uygulanmasını önerdiği bir uyarı da yayımladı. Belge ayrıca sistemdeki güvenlik açığından yararlanıldığını tespit etmek için bir Sigma kuralı sağlar.
Kaynak : “ZDNet.com”