Geçen hafta, siber güvenlik araştırmacısı Joshua Drake, Microsoft Word’deki bir güvenlik açığı için bir kavram kanıtı yayınladı ve tehdit aktörlerinin kötü amaçlı yazılım yaymasının bir yolunu ayrıntılarıyla açıkladı. (yeni sekmede açılır) kullanıcıların bir dosyayı açmasına gerek kalmadan.
Güvenlik açığı CVE-2023-21716 olarak izleniyor. 9,8 önem puanı verildi ve uzaktan kod yürütülmesine izin verdiği için kritik kabul edildi.
BleepingComputer, Microsoft’un Şubat Yaması Salı kümülatif güncellemesinde düzelttiğini bildirdi.
Kötüye kullanım kanıtı yok
Yamayı uygulamayanlar, yalnızca önizleme bölmesine kötü amaçlı bir .RTF belgesi yükleyerek uç noktalarının tehlikeye girmesi riskini alıyor.
Drake’in raporuna göre, Microsoft Word’deki RTF ayrıştırıcısı, “aşırı sayıda yazı tipi içeren bir yazı tipi tablosuyla uğraşırken” etkinleştirilebilen bir yığın bozulması kusuru taşıyor. Dahası, güvenlik açığının yazılması nispeten kolaydır, çünkü tüm kodu tek bir tweet’e sığabilir.
Öte yandan Microsoft, tehdit aktörlerinin kusuru kötüye kullanmasının “daha az olası” olduğu konusunda kullanıcılara güvence verdi ve bunun vahşi doğada olduğuna dair hiçbir kanıt olmadığını da sözlerine ekledi. Gerçeği söylemek gerekirse, istismarı yalnızca teoride gösterdikleri için Drake’in PoC’sinin silah haline getirilip getirilemeyeceğini kesin olarak söyleyemeyiz.
Hiçbir şeyi riske atmakla ilgilenmeyenler için, korunmanın en iyi yolu Microsoft’un Şubat Yaması Salı günü yayınlanan toplu güncelleştirmesini uygulamaktır. Herhangi bir nedenle düzeltmeyi uygulayamayanlar, e-postaları düz metin biçiminde okumalı veya Office uygulamalarının güvenilmeyen kaynaklardan gelen RTF belgelerini açmasını yasaklayan Microsoft Office Dosya Engelleme politikasını etkinleştirmelidir.
Windows Kayıt Defteri’nin ayarlanması gerektiğinden, ikincisi biraz daha fazla beceri gerektirir. Ayrıca Microsoft, “Kayıt Defteri Düzenleyicisi’ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz” uyarısında bulunuyor.
Ayrıca, bir “muaf dizin” oluşturmazsanız, artık hiçbir RTF belgesini açamayabilirsiniz.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)