Sinerji içinde kullanıldığında, yakın zamanda keşfedilen iki Windows kusuru, tehdit aktörlerinin hedef uç noktada kötü amaçlı yazılım çalıştırmasına olanak tanır (yeni sekmede açılır)araştırmacılar buldu.
İki kusur, bir Windows Search sıfır gün ve bir Microsoft Office OLEObject kusurudur.
Silah haline getirilmiş bir Word belgesinin kullanılmasıyla, Sıfır-gün Arama, uzaktan barındırılan bir kötü amaçlı yazılımla otomatik olarak bir arama penceresi açmak için kullanılabilir. Bu, Windows’un “search-ms” adlı bir URI protokol işleyicisini işleme biçimi nedeniyle mümkün olmuştur.
OLEObject kusuru
Bu protokol, uygulamaların ve HTML bağlantılarının özelleştirilmiş aramaları başlatmasına izin verir. Sorun şu ki, Windows kurbanı sitenin Windows Gezgini’ni açmaya çalıştığı konusunda uyaracak ve muhtemelen çoğunu bir şeylerin ters gittiği konusunda uyaracaktır.
Bununla birlikte, Hacker House kurucu ortağı ve güvenlik araştırmacısı Matthew Hickey, bu kusuru Microsoft Office OLEObject kusuruyla eşleştirerek, bir Word belgesini açarak bir arama penceresinin açılabileceğini keşfetti.
Uzun lafın kısası, bir dolandırıcı, bir kimlik avı e-postası yoluyla silahlı bir Word belgesine ulaşabilir ve kurban bunu açtığında, uzaktan barındırılan kötü amaçlı yazılımları içeren özel bir Windows Arama sayfası açılabilir.
Paylaşım, saldırganın istediği adı taşıyabilir, BleeBilgisayar “Kritik Güncellemeler” gibi şeyler de dahil olmak üzere uyardı.
Neyse ki, arama-ms protokol işleyicisini Windows Kayıt Defterinden silerek tehdidi azaltmanın bir yolu var. Bunu yapmak için, CMD’yi Yönetici olarak çalıştırın ve ardından şu komutu çalıştırın: “reg delete HKEY_CLASSES_ROOTsearch-ms /f”.
URI protokol işleyicilerini kötüye kullanmak, bu haftanın başlarında olduğu gibi, bugünlerde çok moda görünüyor, araştırmacılar siber dolandırıcıların Microsoft Windows Destek Teşhis Aracı’nda (MSDT) bulunan bu tür bir kusuru kötüye kullandığını tespit etti. Silah haline getirilmiş bir Word belgesinin yardımıyla, herhangi bir PowerShell komutunu çalıştırabilen “ms-msdt” URI protokol işleyicisi başlatılabilir.
“Follina” olarak adlandırılan kusurun, Çin devlet destekli saldırganlar tarafından uluslararası Tibet topluluğuna karşı kullanıldığı tespit edildi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
