Microsoft, Outlook e-posta hizmetinde, tehdit aktörlerinin bir ayrıcalık yükseltme kusuru için daha önce yayınlanan bir yamayı atlamasına izin veren bir kusuru yamaladı. Bir yama için bir yama, tabiri caizse.
Akamai’den siber güvenlik araştırmacısı Ben Barnea kısa bir süre önce, artık CVE-2023-29324 olarak izlenen sıfır tıklamalı bir geçiş keşfetti. Kusur, Outlook’un tüm sürümlerinde mevcuttur, bu nedenle herkes savunmasızdır, diye bitirdi.
Barnea, “Tüm Windows sürümleri bu güvenlik açığından etkileniyor. Sonuç olarak, Windows’taki tüm Outlook istemci sürümleri kullanılabilir” dedi.
Herkes risk altında
Baypasın, tehdit aktörlerinin bilinen bir ayrıcalık yükseltme güvenlik açığından yararlanmasına izin verdiği göz önüne alındığında, BT ekipleri yamayı mümkün olan en kısa sürede uygulamalıdır.
Bu yılın başlarında yamalanan ayrıcalık yükseltme kusurunun CVE-2023-23397 olarak izlendiği söylendi. Bu kusuru kötüye kullanan tehdit aktörleri, kurbanın girdisine ihtiyaç duymadan NTLM aktarma saldırılarına girişebilir ve NTLM karmalarını ele geçirebilir. Bu, kötü niyetli bir mesaj göndererek yapılabilir. (yeni sekmede açılır) Araştırmacılar o sırada, özel bildirim seslerine giden UNC yollarını içeren genişletilmiş MAPI özelliklerine sahip bir mesaj olduğunu açıkladı. Bu, Outlook’un saldırganların kontrolü altındaki SMB paylaşımlarına bağlanmasını sağlar.
Sorunu çözmek için Microsoft, UNC yolunun internet URL’lerine bağlanmasını önleyen bir MapUrlToZone çağrısı ekledi ve bağlantı kurduysa, sesler varsayılan hatırlatıcılarla değiştirildi. Ancak Barnea, MapUrlToZone kontrollerini kandırarak ve özelliğin uzak yolları ve yerel yolları kabul etmesini sağlayarak, hatırlatma mesajlarındaki URL’nin değiştirilebileceğini buldu. Sonuç olarak, Outlook saldırganların kontrolündeki bir sunucuya bağlanır:
Barnea, “Bu sorun, Windows’ta yolların karmaşık bir şekilde işlenmesinin bir sonucu gibi görünüyor” dedi.
Microsoft, kullanıcıların korunmak için her iki güvenlik açığı için düzeltmeyi uygulaması gerektiğini söyleyerek, en son düzeltmenin bağımsız olarak çalışmadığı konusunda uyardı.
Şirket ayrıca, Rus devlet destekli bilinen saldırganların, hükümet ve askeri hedeflere yönelik kampanyalarda bu kusurlardan yararlandığını söyledi.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
