MSHTML bileşenini etkileyen uzaktan kod yürütme güvenlik açığını düzeltmek için Microsoft tarafından uygulanan yamayı atlayabilen yeni bir istismardan yararlanan kısa ömürlü kimlik avı kampanyası gözlemlendi.
SophosLabs araştırmacıları Andrew Brandt ve Stephen Ormandy, “Ekler, saldırganın CVE-2021-40444 hatasını kötüye kullanımının tırmanmasını temsil ediyor ve bir yamanın bile motive ve yeterince yetenekli bir saldırganın eylemlerini her zaman hafifletemeyeceğini gösteriyor.” dedi.
MSHTML CVE-2021-40444 , özel hazırlanmış Microsoft Office belgeleri kullanılarak yararlanılabilecek bir uzaktan kod yürütme kusuruyla alakalıdır. Microsoft, Eylül 2021 Yaması Salı güncellemelerinin bir parçası olarak güvenlik zayıflığını ele alsa da, kusurla ilgili ayrıntılar kamuya açıklandığından beri birden fazla saldırıda kullanılmaya başlandı.
Aynı ay içerisinde güvenliği ihlal edilmiş teknoloji devi Windows sistemlerine Cobalt Strike Beacons dağıtmak için güvenlik açığından yararlanan hedefli bir kimlik avı kampanyasını ortaya çıkardı. Ardından Kasım ayında SafeBreach Labs, hassas bilgileri toplamak için tasarlanmış yeni bir PowerShell tabanlı bilgi hırsızıyla Farsça konuşan kurbanları hedef alan İran kökenli bir tehdit aktörü operasyonunun ayrıntılarını bildirdi.
MSHTML için Office’in herkese açık bir kavram kanıtı açığını değiştirerek ve Formbook kötü amaçlı yazılımını dağıtmak için silah haline getirerek yamanın korumasını aşmayı amaçlıyor. Siber güvenlik firması, saldırının başarısının kısmen “çok dar odaklı bir yamaya” bağlanabileceğini söyledi.
“CAB’siz” – 40444 istismarı nasıl çalışır?
Araştırmacılar, “CVE-2021-40444 istismarlarının ilk sürümlerinde, kötü amaçlı Office belgesi, bir Microsoft dosyasına paketlenmiş bir kötü amaçlı yazılım yükü aldı. Microsoft’un yaması bu boşluğu kapattığında, saldırganlar malDoc’u özel hazırlanmış bir RAR arşivine koyarak tamamen farklı bir saldırı zinciri kullanabileceklerini keşfettiler.” dedi.
CAB’siz 40444, değiştirilmiş istismar olarak adlandırılır. 24 ve 25 Ekim arasında 36 saat sürmüştür ve bu sırada potansiyel kurbanlara hatalı biçimlendirilmiş bir RAR arşiv dosyası içeren spam e-postalar gönderildi. RAR dosyası, Windows Komut Dosyası Ana Bilgisayarında (WSH) yazılmış bir komut dosyası ve açıldığında kötü amaçlı JavaScript barındıran uzak bir sunucuyla bağlantı kuran bir Word Belgesi içeriyordu.
Sonuç olarak, JavaScript kodu, WSH komut dosyasını başlatmak ve Formbook kötü amaçlı yazılım yükünü saldırgan kontrollü bir web sitesinden almak için RAR dosyasında yerleşik bir PowerShell komutu yürütmek için Word Belgesini bir kanal olarak kullandı.
İstismarın kullanımda bir günden biraz fazla bir süre sonra neden ortadan kaybolduğuna gelince, ipuçları, değiştirilmiş RAR arşiv dosyalarının WinRAR yardımcı programının eski sürümleriyle çalışmadığı gerçeğinde yatmaktadır. Araştırmacılar, “Yani, beklenmedik bir şekilde, bu durumda WinRAR’ın çok daha eski, modası geçmiş sürümünün kullanıcıları, en son sürümün kullanıcılarından daha iyi korunurdu” dedi.
Andrew Brandt, “Bu araştırma, tek başına yama uygulamasının her durumda tüm güvenlik açıklarına karşı koruma sağlayamayacağının bir hatırlatıcısıdır. Bir kullanıcının yanlışlıkla kötü amaçlı bir belgeyi tetiklemesini önleyen kısıtlamalar koymak yardımcı olur, ancak insanlar yine de ‘içeriği etkinleştir’ düğmesini tıklamaya yönlendirilebilir.” dedi.
Brandt, “Bu nedenle, çalışanları eğitmek ve e-postayla gönderilen belgelerden, özellikle de tanımadıkları kişilerden veya şirketlerden alışılmadık veya alışılmadık sıkıştırılmış dosya biçimleriyle geldiklerinde şüphe duymalarını hatırlatmak hayati önem taşıyor” diye ekledi.
Bu makalemizi beğendiyseniz sizleri Exploit Nedir? adlı makalemize bekliyoruz.