Gülen Peygamber Devesi adını taşıyan Greg Linares şunları paylaştı: X’te komik bir hikaye kendisinin ve takım arkadaşlarının Office 2007’de büyük bir sıfır gün güvenlik açığını nasıl duyurduklarını, ancak bunun kendi açılarından bir hata olduğunu nasıl anladıklarını anlattı. İtibarlarını, işlerini ve hatta belki de işlerini kurtarmak için gerçek bir hata bulmak için çabalamak zorunda kaldılar. Bu olay, Linares’in dijital güvenlik şirketi eEye ile birlikte çalıştığı ve yeni Microsoft Office paketini güvenlik açıklarına karşı test ettiği 2006 yılının sonlarında meydana geldi.
eEye, tehdit yönetimi alanında önde gelen kurumlardan biri olduğundan, o dönemde en yaygın kullanılan kurumsal yazılım paketlerinden birinin en son sürümünün sıfır gün kusurlarına sahip olup olmadığını görmek şirketin göreviydi. Linares, lansmandan sonraki 36 saat içinde, Word’ün eski Word Art yapılarını Office 2007 için modern olanlara dönüştürmek için kullandığı Word Art dönüştürme işlevinde bir hata buldu.
Bu keşfi, Linares’in keşfini kabul eden ve bunu Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) gönderen kıdemli Marc Maiffret’e (şu anda eEye’ı 2012’de satın alan BeyondTrust şirketinin CTO’su) gönderdi. Aynı zamanda, eEye hatayla ilgili birkaç basın bülteni yayınladı ve bazı önemli haber kaynakları, eEye’ın duyurusuna dayanarak hikayeyi ele aldı…
Hata, yanlış pozitif
PR’ın yayınlanmasından ve haberlerin yaygınlaşmasından kısa bir süre sonra, Office 2007’de çalışan başlıca güvenlik uzmanlarından biri olan David LeBlanc, bu hatadan ancak programa bir hata ayıklayıcı eklendiğinde yararlanılabileceğini fark etti; bu neredeyse ortalama bir şeydi. kullanıcılar paketin günlük kullanımında çalışmazlardı ve çalışmazlardı. LeBlanc şöyle dedi: “Yani, bu kilitlenme… yalnızca bir hata ayıklayıcı eklendiğinde kullanılabilir.” Bu, Greg Linares’in bulgusunun yanlış pozitif olduğu anlamına geliyordu, dolayısıyla eEye duyurularını geri çekmek zorunda kaldı. Ya da belki değil?
Greg, eEye’da iki aydan kısa bir süre önce çalışıyordu ve kendisini harap hissediyordu çünkü yaptığı hata potansiyel olarak şirketin itibarına zarar verebilirdi. Eğer eEye, Microsoft Office’teki sıfır gün güvenlik açığına ilişkin bulgularını iptal etmek zorunda kalsaydı, Linares’in şirketteki işi de muhtemelen kesintiye uğrayacaktı.
Ancak Marc’ın farklı bir fikri vardı: Basın bültenini geri çekmek yerine araştırma ekibine Office 2007’de kendisine en kısa sürede yeni bir sıfır gün hatası bulmasını söyledi. Bu arada eEye, MSRC’ye ekibin yanlış dosyayı gönderdiğini ve kısa süre içinde bir güncelleme sağlayacağını söyleyerek biraz zaman kaybettirdi.
Bu nedenle Linares, bir şey bulmaya çalışmak için Office paketine manuel olarak bulanıklaştırmaya veya rastgele geçersiz ve beklenmeyen girişler eklemeye başladı. Ancak bu çabasında yalnız değildi; tüm araştırma ekibi onun yanına giderek şöyle dedi: “Bu işte birlikteyiz. Bunu yapalım.” Ekipten hiçbiri günlerce ofisten ayrılmadı ve eşleri ve ortakları onlar için çok endişeliydi. Ancak ilk duyurularını destekleyecek başka bir hata bulana kadar vazgeçemezlerdi.
Dört gün süren rastgele fuzzing, bir analiz araç seti, ikili kod çözücü ve birkaç pizza yığınından sonra, bir fuzzer başarılı oldu ve bu, tüm ekibin aklını başına toplamasını sağladı. Fuzzer’ı hata ayıklayıcı olmadan tekrar çalıştırdılar ve aynı kilitlenmeyle karşılaştılar: 0x4141414141, ekibin uygulamanın kontrolünü ele geçirmesine olanak tanıyan tam genişletilmiş talimat işaretçisinin (EIP) üzerine yazılması.
Yarı baygın bir durumdayım, hezeyanla doluyum, pizza yarı elimde zar zor bilincim yerinde, bir füzerin gerçekten çarptığını duyduğumda bilincime geri dönerken kırmızı bir dağ çiy kodu döküyorum8 Haziran 2024
Greg’in diğer takım arkadaşları Yuji ve Derek, kaynağını bulmak için hatayı tersine çevirmeye başladılar ve hatanın Microsoft’un Excel, PowerPoint veya Word kadar popüler olmayan masaüstü yayıncılık yazılımı olan Microsoft Publisher’ı etkilediğini keşfettiler. Ekip, güvenlik açığını bir hata ayıklayıcıyla ve yeni bir işletim sisteminde yeniden test ettikten sonra hatayı doğruladı.
Ekip daha sonra güvenlik açığını MSRC’ye iletti ve durum o kadar kötüydü ki Microsoft, LeBlanc’ı incelemesi için ofise çağırmak zorunda kaldı. eEye ekibi daha sonra güvenlik açıklarının tam demolarını gösterdi ve bulgularını basına doğruladı. Microsoft daha sonra sorunu bulan ekibe yanıt verdi ve durumu doğruladı. LeBlanc’ın tamsayı taşmalarını önlemek için geliştirdiği taşınabilir kütüphane SafeInt yapıya uygulanmadı ve bu da güvenlik açığına yol açtı.
MSRC’nin sorunu onaylamasının ardından eEye şunları yazdı: danışma herkese güvenlik açığının ayrıntıları hakkında bilgi vermek. Şirketin ilk duyurusunu geri çekmesi gerekmedi ve Greg, eEye’daki güvenlik araştırmacısı olarak görevine devam etti. Bugün, bilgi güvenliği sektöründe 20 yıldan fazla bir süredir çalışıyor ve küçük ve orta ölçekli şirketlerle çalışma konusunda uzmanlaşmış bir siber güvenlik firması olan Huntress Labs’a bağlı.