Microsoft , Windows 10’da Office 365 ve Office 2019’a yönelik hedefli saldırılarda yararlanılan Windows’ta bir uzaktan kod yürütme güvenlik açığı için azaltmayı paylaştı.
Kusur, Microsoft Office belgeleri tarafından da kullanılan tarayıcı oluşturma motoru olan MSHTML’dedir.
Office 365 yönelik devam eden saldırılar
CVE-2021-40444 olarak tanımlanan güvenlik sorunu, Windows Server 2008’den 2019’a ve Windows 8.1’den 10’a kadar etkiler ve maksimum 10 üzerinden 8,8 önem düzeyine sahiptir.
Microsoft, bugün bir danışma belgesinde , Microsoft’un potansiyel kurbanlara özel hazırlanmış Microsoft Office belgeleri göndererek güvenlik açığından yararlanmaya çalışan hedefli saldırıların farkında olduğunu söylüyor.
“Bir saldırgan, tarayıcı oluşturma motorunu barındıran bir Microsoft Office belgesi tarafından kullanılmak üzere kötü amaçlı bir ActiveX denetimi oluşturabilir. Saldırganın daha sonra kullanıcıyı kötü amaçlı belgeyi açmaya ikna etmesi gerekir” – Microsoft
Bununla birlikte, Microsoft Office, web’deki belgelerin Korumalı Görünüm modunda veya Office 365 için Uygulama Koruması’nda açıldığı varsayılan yapılandırmayla çalışırsa saldırı engellenir.
Korumalı Görünüm, düzenleme işlevlerinin çoğunun devre dışı bırakıldığı salt okunur bir moddur; Uygulama Koruması ise güvenilmeyen belgeleri yalıtarak şirket kaynaklarına, intranet’e veya sistemdeki diğer dosyalara erişimlerini engeller
Etkin Microsoft’un Defender Antivirus ve Defender for Endpoint (1.349.22.0 ve üstü sürümler) içeren sistemler, CVE-2021-40444’ten yararlanma girişimlerine karşı korumadan yararlanır.
Microsoft’un kurumsal güvenlik platformu, bu saldırıyla ilgili uyarıları “Şüpheli Cpl Dosyası Yürütme” olarak görüntüler.
Birden fazla siber güvenlik şirketinden araştırmacılar, güvenlik açığını bulup bildirdikleri için kredilendirildi: EXPMON’dan Haifei Li, Dhanesh Kizhakkinan, Bryce Abdo ve Genwei Jiang – Mandiant’ın üçü ve Microsoft Güvenlik İstihbaratı’ndan Rick Cole.
EXPMON (istismar izleyicisi), bugün bir tweet’te, Microsoft Office kullanıcılarını hedef alan “son derece karmaşık bir sıfır gün saldırısı” tespit ettikten sonra güvenlik açığını bulduklarını söylüyor.
EXPMON araştırmacıları, Windows 10’da en son Office 2019 / Office 365’e yapılan saldırıyı yeniden üretti.
EXPMON’dan Haifei Li , BleepingComputer’a verdiği yanıtta, saldırganların bir .DOCX dosyası kullandığını söyledi. Belge açıldıktan sonra, tehdit aktöründen uzak bir web sayfası oluşturmak için Internet Explorer motorunu yükledi.
Kötü amaçlı yazılım daha sonra web sayfasındaki belirli bir ActiveX denetimi kullanılarak indirilir. Tehdidin yürütülmesi, Microsoft’un danışma belgesinde atıfta bulunulan ”Cpl Dosya Yürütme’ adlı bir numara” kullanılarak yapılır.
Araştırmacı bize saldırı yönteminin %100 güvenilir olduğunu ve bu da onu çok tehlikeli kıldığını söyledi. O açık sabah erkenden Microsoft’a bildirildi.
CVE-2021-40444 sıfır gün saldırıları için geçici çözüm
Şu anda kullanılabilir bir güvenlik güncelleştirmesi olmadığından, Microsoft aşağıdaki geçici çözümü sağlamıştır: Internet Explorer’da tüm ActiveX denetimlerinin yüklenmesini devre dışı bırakın.
Bir Windows kayıt defteri güncellemesi, ActiveX’in tüm siteler için devre dışı bırakılmasını sağlarken, zaten mevcut olan ActiveX denetimleri çalışmaya devam eder.
CVE-2021-40444 için güncellemeler henüz mevcut olmadığından, ActiveX denetimlerinin Internet Explorer’da ve tarayıcıyı yerleştiren uygulamalarda çalışmasını engelleyen aşağıdaki geçici çözümü yayınladılar.
ActiveX denetimlerini devre dışı bırakmak için lütfen şu adımları izleyin:
- Not Defteri’ni açın ve aşağıdaki metni bir metin dosyasına yapıştırın. Ardından dosyayı disable-activex.reg olarak kaydedin . Kayıt defteri dosyasını düzgün bir şekilde oluşturmak için dosya uzantılarının görüntülenmesini etkinleştirdiğinizden emin olun .
Alternatif olarak, gelen kayıt defteri dosyasını indirebilirsiniz - .
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003
- Yeni oluşturulan disable-activex.reg dosyasını bulun ve üzerine çift tıklayın. Bir UAC istemi görüntülendiğinde, Kayıt defteri girişlerini almak için Evet düğmesine tıklayın.
- Yeni yapılandırmayı uygulamak için bilgisayarınızı yeniden başlatın.
Bilgisayarınızı yeniden başlattığınızda, Internet Explorer’da ActiveX denetimleri devre dışı bırakılır.
Microsoft bu güvenlik açığı için resmi bir güvenlik güncelleştirmesi sağladığında, oluşturulan Kayıt Defteri anahtarlarını el ile silerek bu geçici Kayıt Defteri düzeltmesini kaldırabilirsiniz.