Microsoft Windows’ta, herhangi bir kullanıcı etkileşimi olmaksızın Outlook e-posta hizmetinde uzaktan kod yürütülmesini sağlamak için tehdit aktörleri tarafından zincirlenebilecek, şu anda yamalı olan iki güvenlik açığı hakkında teknik ayrıntılar ortaya çıktı.
Güvenlik açıklarını keşfeden Akamai güvenlik araştırmacısı Ben Barnea, “İnternetteki bir saldırgan, Outlook istemcilerine karşı tam, sıfır tıklamayla uzaktan kod yürütme (RCE) istismarı oluşturmak için güvenlik açıklarını birbirine zincirleyebilir” dedi. iki parçalı rapor The Hacker News ile paylaşıldı.
Microsoft tarafından sırasıyla Ağustos ve Ekim 2023’te ele alınan güvenlik sorunları aşağıda listelenmiştir:
- CVE-2023-35384 (CVSS puanı: 5.4) – Windows HTML Platformları Güvenlik Özelliği Güvenlik Açıklarını Aşıyor
- CVE-2023-36710 (CVSS puanı: 7,8) – Windows Media Foundation Çekirdek Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2023-35384, Akamai tarafından Microsoft’un Mart 2023’te yamaladığı kritik bir güvenlik kusurunun atlanması olarak tanımlandı. CVE-2023-23397 (CVSS puanı: 9,8) olarak takip edilen kusur, bir ayrıcalık yükseltme durumuyla ilgilidir. NTLM kimlik bilgilerinin çalınmasına neden olur ve bir saldırganın geçiş saldırısı gerçekleştirmesine olanak tanır.
Bu ayın başlarında Microsoft, Proofpoint ve Palo Alto Networks Unit 42, APT29 olarak bilinen bir Rus tehdit aktörünün, kurbanların Exchange sunucularındaki hesaplarına yetkisiz erişim sağlamak için hatayı aktif olarak silah olarak kullandığını ortaya çıkardı.
CVE-2023-35384’ün aynı zamanda Barnea tarafından keşfedilen ve daha sonra Mayıs 2023 güvenlik güncellemelerinin bir parçası olarak Redmond tarafından düzeltilen CVE-2023-29324’ten sonraki ikinci yama atlaması olduğunu belirtmekte fayda var.
Barnea, “Orijinal Outlook güvenlik açığına başka bir geçiş bulduk; bu, bir kez daha istemciyi saldırgan tarafından kontrol edilen bir sunucuya bağlanmaya ve kötü amaçlı bir ses dosyası indirmeye zorlamamıza olanak tanıyan bir geçiş” dedi.
CVE-2023-35384, CVE-2023-29324 gibi, bir yolun MapUrlToZone işlevi Kötü amaçlı bir dosya veya URL içeren bir e-postanın bir Outlook istemcisine gönderilmesi yoluyla bu durumdan yararlanılabilir.
Microsoft, “MSHTML platformu, belirli URL’lere yönelik isteklerin doğru Güvenlik Bölgesini doğrulamadığında bir güvenlik özelliği atlama güvenlik açığı ortaya çıkar. Bu, bir saldırganın, bir kullanıcının amaçlanandan daha az kısıtlı bir Internet Güvenlik Bölgesindeki bir URL’ye erişmesine neden olmasına olanak verebilir” dedi. tavsiyesinde bulunuyor.
Bunu yaparken, güvenlik açığı yalnızca NTLM kimlik bilgilerini sızdırmak için kullanılamaz, aynı zamanda ses ayrıştırma kusuruyla (CVE-2023-36710) zincirlenerek Outlook’un hatırlatıcı ses özelliği kullanılarak otomatik oynatıldığında özel bir ses dosyası indirilebilir. kurbanın makinesinde sıfır tıklamayla kod yürütülmesine yol açar.
CVE-2023-36710, Ses Sıkıştırma Yöneticisini etkiliyor (ACM) bileşeni, ses codec bileşenlerini yönetmek için kullanılan eski bir Windows multimedya çerçevesidir ve bir WAV dosyası oynatılırken ortaya çıkan bir tamsayı taşması güvenlik açığının sonucudur.
Barnea, “Sonunda IMA ADP codec bileşenini kullanarak güvenlik açığını tetiklemeyi başardık” dedi. “Dosya boyutu yaklaşık 1,8 GB’tır. Hesaplamada matematik limit işlemini gerçekleştirerek, IMA ADP codec bileşeniyle mümkün olan en küçük dosya boyutunun 1 GB olduğu sonucuna varabiliriz.”
Riskleri azaltmak için kuruluşların uzak genel IP adreslerine giden SMB bağlantılarını engellemek amacıyla mikro bölümleme kullanması önerilir. Ayrıca, NTLM’nin devre dışı bırakılması veya kullanıcıların Korunan Kullanıcılar güvenlik grubuNTLM’nin kimlik doğrulama mekanizması olarak kullanılmasını engeller.
