Siber suçlular Microsoft Word’de yeni bir delik buldu (yeni sekmede açılır) kötü amaçlı yazılım dağıtmalarına izin veren belgeler (yeni sekmede açılır)diyor araştırmacılar.
Siber güvenlik uzmanı Kevin Beaumont tarafından keşfedilen ve “Follina” olarak adlandırılan delik, Windows’ta farklı sorun giderici paketleri çalıştırmak için tasarlanmış msdt.exe adlı bir Windows yardımcı programından yararlanıyor.
Rapora göre, kurban silah haline getirilmiş Word dosyasını indirdiğinde, onu çalıştırmaya bile gerek duymuyor, Windows Gezgini’nde önizlemesi, aracın kötüye kullanılması için yeterli (yine de bir RTF dosyası olmalı).
Saldırganlar, bu yardımcı programı kötüye kullanarak, hedef uç noktaya uzak bir URL’den bir HTML dosyasını çağırmasını söyleyebilir. Saldırganlar xml biçimlerini seçti[.]Araştırmacılar, muhtemelen çoğu Word belgesinde kullanılan benzer görünümlü, meşru olsa da openxmlformats.org alanının arkasına saklanmaya çalışıyor.
Tehdidi kabul etmek
HTML dosyası, bir yükü indiren ve yürüten bir komut dosyası olan gerçek amacını gizleyen çok sayıda “önemsiz” içerir.
Rapor, gerçek yük hakkında neredeyse hiçbir şey söylemiyor, bu nedenle tehdit aktörünün son oyununu belirlemek zor. Yayınlanan örneklerle ilgili olayların tam zincirinin henüz bilinmediğini söylüyor.
Bulguların yayınlanmasının ardından Microsoft, “MSDT, Word gibi bir çağrı uygulamasından URL protokolü kullanılarak çağrıldığında” uzaktan kod yürütme güvenlik açığı bulunduğunu söyleyerek tehdidi kabul etti.
“Bu güvenlik açığından başarıyla yararlanan bir saldırgan, çağıran uygulamanın ayrıcalıklarıyla rasgele kod çalıştırabilir. Saldırgan daha sonra programları yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da kullanıcı haklarının izin verdiği bağlamda yeni hesaplar oluşturabilir.”
Bazı antivirüs (yeni sekmede açılır) Sophos gibi yazılımlar zaten bu saldırıyı tespit edebiliyor, Micorosft ayrıca MSDT URL protokolünün devre dışı bırakılmasını içeren bir azaltma yöntemi yayınladı.
Bu, sorun gidericilerin bağlantı olarak başlatılmasını engelleyecek olsa da, Yardım Al uygulaması ve sistem ayarlarından bunlara erişilebilir. Bu geçici çözümü etkinleştirmek için yöneticilerin aşağıdakileri yapması gerekir:
Komut İstemini Yönetici Olarak Çalıştırın.
Kayıt defteri anahtarını yedeklemek için “reg export HKEY_CLASSES_ROOTms-msdt filename” komutunu çalıştırın.
“reg delete HKEY_CLASSES_ROOTms-msdt /f” komutunu çalıştırın.
