Siber güvenlik araştırmacıları, Microsoft Office’te, etkilenen Windows sistemlerinde rastgele kod yürütülmesini sağlamak için kötüye kullanılabilecek bir sıfır gün kusuruna dikkat çekiyor.
Güvenlik açığı, nao_sec olarak bilinen bağımsız bir siber güvenlik araştırma ekibinin bir Word belgesini (“05-2022-0438.doc“) Beyaz Rusya’daki bir IP adresinden VirusTotal’a yüklendi.
Araştırmacılar, “HTML’yi yüklemek için Word’ün harici bağlantısını kullanıyor ve ardından PowerShell kodunu yürütmek için ‘ms-msdt’ şemasını kullanıyor” kayıt edilmiş Geçen hafta bir dizi tweet’te.
Hatayı “Follina” olarak adlandıran güvenlik araştırmacısı Kevin Beaumont’a göre, maldoc Word’ün uzak şablon Bir sunucudan bir HTML dosyası getirme özelliği, bu da kötü amaçlı yükü çalıştırmak için “ms-msdt://” URI şemasını kullanır.
Kötü niyetli örnek, İtalya’nın Treviso kentindeki bir belediye olan Follina’nın alan kodu olan 0438’e atıfta bulunduğundan bu eksiklik bu şekilde adlandırılmıştır.
MSDT bir sorunu çözmek için destek uzmanları tarafından analiz için sorun gidermek ve tanı verilerini toplamak için kullanılan bir yardımcı program olan Microsoft Destek Tanılama Aracı’nın kısaltmasıdır.
Beaumont, “Burada çok şey oluyor, ancak ilk sorun, Microsoft Word’ün, makrolar devre dışı bırakılmış olsa bile kodu msdt (bir destek aracı) aracılığıyla yürütmesidir” açıkladı.
“Korumalı Görünüm Her ne kadar belgeyi RTF formuna değiştirirseniz, Korumalı Görünüm bir yana, belgeyi açmadan bile (Explorer’daki önizleme sekmesi aracılığıyla) çalışır,” diye ekledi araştırmacı.
Bağımsız bir analizde, siber güvenlik şirketi Huntress Labs, saldırı akışını detaylandırdı ve “xmlformats” adlı artık erişilemeyen bir alandan kaynaklanan istismarı tetikleyen HTML dosyasına (“RDF842l.html”) dikkat çekti.[.]com.”
Huntress Labs’den John Hammond, “Zengin Metin Biçimi dosyası (.RTF), yalnızca Windows Gezgini’ndeki Önizleme Bölmesi ile bu istismarın başlatılmasını tetikleyebilir” söz konusu. “CVE-2021-40444’e çok benzer şekilde, bu tehdidin ciddiyetini yalnızca istismar için ‘tek tıklamayla’ değil, potansiyel olarak bir ‘sıfır tıklama’ tetikleyicisiyle de genişletiyor.”
Office, Office 2016 ve Office 2021 dahil olmak üzere birden çok Microsoft Office sürümünün etkilendiği söyleniyor, ancak diğer sürümlerin de savunmasız olması bekleniyor.
Dahası, NCC Group’tan Richard Warren yönetilen Önizleme bölmesi etkinleştirilmiş güncel bir Windows 11 makinesinde çalışan Nisan 2022 yamalarıyla Office Professional Pro’da bir istismarı göstermek için.
Beaumont, “Microsoft’un tüm farklı ürün teklifleri arasında yama yapması gerekecek ve güvenlik satıcılarının sağlam algılama ve engellemeye ihtiyacı olacak.” Dedi. Yorum için Microsoft’a ulaştık ve haber aldığımızda hikayeyi güncelleyeceğiz.
