OzzTech - Microsoft Office 365 sıfır gün saldırıları için geçici düzeltme paylaştı

Microsoft Office 365 sıfır gün saldırıları için geçici düzeltme paylaştı

Office 365

Microsoft , Windows 10'da Office 365 ve Office 2019'a yönelik hedefli saldırılarda yararlanılan Windows'ta bir uzaktan kod yürütme güvenlik açığı için azaltmayı paylaştı.

Kusur, Microsoft Office belgeleri tarafından da kullanılan tarayıcı oluşturma motoru olan MSHTML'dedir.

Office 365 yönelik devam eden saldırılar

CVE-2021-40444 olarak tanımlanan güvenlik sorunu, Windows Server 2008'den 2019'a ve Windows 8.1'den 10'a kadar etkiler ve maksimum 10 üzerinden 8,8 önem düzeyine sahiptir.

Microsoft, bugün bir danışma belgesinde , Microsoft'un potansiyel kurbanlara özel hazırlanmış Microsoft Office belgeleri göndererek güvenlik açığından yararlanmaya çalışan hedefli saldırıların farkında olduğunu söylüyor.

“Bir saldırgan, tarayıcı oluşturma motorunu barındıran bir Microsoft Office belgesi tarafından kullanılmak üzere kötü amaçlı bir ActiveX denetimi oluşturabilir. Saldırganın daha sonra kullanıcıyı kötü amaçlı belgeyi açmaya ikna etmesi gerekir” - Microsoft

Bununla birlikte, Microsoft Office, web'deki belgelerin Korumalı Görünüm modunda veya Office 365 için Uygulama Koruması'nda açıldığı varsayılan yapılandırmayla çalışırsa saldırı engellenir.

Korumalı Görünüm, düzenleme işlevlerinin çoğunun devre dışı bırakıldığı salt okunur bir moddur; Uygulama Koruması ise güvenilmeyen belgeleri yalıtarak şirket kaynaklarına, intranet'e veya sistemdeki diğer dosyalara erişimlerini engeller

Etkin Microsoft'un Defender Antivirus ve Defender for Endpoint (1.349.22.0 ve üstü sürümler) içeren sistemler, CVE-2021-40444'ten yararlanma girişimlerine karşı korumadan yararlanır.

Microsoft'un kurumsal güvenlik platformu, bu saldırıyla ilgili uyarıları "Şüpheli Cpl Dosyası Yürütme" olarak görüntüler.

Birden fazla siber güvenlik şirketinden araştırmacılar, güvenlik açığını bulup bildirdikleri için kredilendirildi: EXPMON'dan Haifei Li, Dhanesh Kizhakkinan, Bryce Abdo ve Genwei Jiang - Mandiant'ın üçü ve Microsoft Güvenlik İstihbaratı'ndan Rick Cole.

EXPMON (istismar izleyicisi), bugün bir tweet'te, Microsoft Office kullanıcılarını hedef alan "son derece karmaşık bir sıfır gün saldırısı" tespit ettikten sonra güvenlik açığını bulduklarını söylüyor.

EXPMON araştırmacıları, Windows 10'da en son Office 2019 / Office 365'e yapılan saldırıyı yeniden üretti.

EXPMON'dan Haifei Li , BleepingComputer'a verdiği yanıtta, saldırganların bir .DOCX dosyası kullandığını söyledi. Belge açıldıktan sonra, tehdit aktöründen uzak bir web sayfası oluşturmak için Internet Explorer motorunu yükledi.

Kötü amaçlı yazılım daha sonra web sayfasındaki belirli bir ActiveX denetimi kullanılarak indirilir. Tehdidin yürütülmesi, Microsoft'un danışma belgesinde atıfta bulunulan ''Cpl Dosya Yürütme' adlı bir numara" kullanılarak yapılır.

Araştırmacı bize saldırı yönteminin %100 güvenilir olduğunu ve bu da onu çok tehlikeli kıldığını söyledi. O açık sabah erkenden Microsoft'a bildirildi.

CVE-2021-40444 sıfır gün saldırıları için geçici çözüm

Şu anda kullanılabilir bir güvenlik güncelleştirmesi olmadığından, Microsoft aşağıdaki geçici çözümü sağlamıştır: Internet Explorer'da tüm ActiveX denetimlerinin yüklenmesini devre dışı bırakın.

Bir Windows kayıt defteri güncellemesi, ActiveX'in tüm siteler için devre dışı bırakılmasını sağlarken, zaten mevcut olan ActiveX denetimleri çalışmaya devam eder.

CVE-2021-40444 için güncellemeler henüz mevcut olmadığından, ActiveX denetimlerinin Internet Explorer'da ve tarayıcıyı yerleştiren uygulamalarda çalışmasını engelleyen aşağıdaki geçici çözümü yayınladılar.

ActiveX denetimlerini devre dışı bırakmak için lütfen şu adımları izleyin:

  1. Not Defteri'ni açın ve aşağıdaki metni bir metin dosyasına yapıştırın. Ardından dosyayı disable-activex.reg olarak kaydedin . Kayıt defteri dosyasını düzgün bir şekilde oluşturmak için dosya uzantılarının görüntülenmesini etkinleştirdiğinizden emin olun .

    Alternatif olarak, gelen kayıt defteri dosyasını indirebilirsiniz 
  2. .Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003
  3. Yeni oluşturulan  disable-activex.reg dosyasını bulun ve üzerine çift tıklayın. Bir UAC istemi görüntülendiğinde,   Kayıt defteri girişlerini almak için Evet düğmesine tıklayın.
  4. Yeni yapılandırmayı uygulamak için bilgisayarınızı yeniden başlatın.

Bilgisayarınızı yeniden başlattığınızda, Internet Explorer'da ActiveX denetimleri devre dışı bırakılır.

Microsoft bu güvenlik açığı için resmi bir güvenlik güncelleştirmesi sağladığında, oluşturulan Kayıt Defteri anahtarlarını el ile silerek bu geçici Kayıt Defteri düzeltmesini kaldırabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.