OzzTech - MSHTML Yeni Exploit Yamayı Atlıyor

MSHTML Yeni Exploit Yamayı Atlıyor

MSHTML

MSHTML bileşenini etkileyen uzaktan kod yürütme güvenlik açığını düzeltmek için Microsoft tarafından uygulanan yamayı atlayabilen yeni bir istismardan yararlanan kısa ömürlü kimlik avı kampanyası gözlemlendi.

SophosLabs araştırmacıları Andrew Brandt ve Stephen Ormandy, "Ekler, saldırganın CVE-2021-40444 hatasını kötüye kullanımının tırmanmasını temsil ediyor ve bir yamanın bile motive ve yeterince yetenekli bir saldırganın eylemlerini her zaman hafifletemeyeceğini gösteriyor." dedi.

MSHTML CVE-2021-40444 , özel hazırlanmış Microsoft Office belgeleri kullanılarak yararlanılabilecek bir uzaktan kod yürütme kusuruyla alakalıdır. Microsoft, Eylül 2021 Yaması Salı güncellemelerinin bir parçası olarak güvenlik zayıflığını ele alsa da, kusurla ilgili ayrıntılar kamuya açıklandığından beri birden fazla saldırıda kullanılmaya başlandı.

Aynı ay içerisinde güvenliği ihlal edilmiş teknoloji devi Windows sistemlerine Cobalt Strike Beacons dağıtmak için güvenlik açığından yararlanan hedefli bir kimlik avı kampanyasını ortaya çıkardı. Ardından Kasım ayında SafeBreach Labs, hassas bilgileri toplamak için tasarlanmış yeni bir PowerShell tabanlı bilgi hırsızıyla Farsça konuşan kurbanları hedef alan İran kökenli bir tehdit aktörü operasyonunun ayrıntılarını bildirdi.

MSHTML için Office'in herkese açık bir kavram kanıtı açığını değiştirerek ve Formbook kötü amaçlı yazılımını dağıtmak için silah haline getirerek yamanın korumasını aşmayı amaçlıyor. Siber güvenlik firması, saldırının başarısının kısmen "çok dar odaklı bir yamaya" bağlanabileceğini söyledi.

"CAB'siz" - 40444 istismarı nasıl çalışır?

MSHTML

Araştırmacılar, "CVE-2021-40444 istismarlarının ilk sürümlerinde, kötü amaçlı Office belgesi, bir Microsoft dosyasına paketlenmiş bir kötü amaçlı yazılım yükü aldı. Microsoft'un yaması bu boşluğu kapattığında, saldırganlar malDoc'u özel hazırlanmış bir RAR arşivine koyarak tamamen farklı bir saldırı zinciri kullanabileceklerini keşfettiler." dedi.

CAB'siz 40444, değiştirilmiş istismar olarak adlandırılır. 24 ve 25 Ekim arasında 36 saat sürmüştür ve bu sırada potansiyel kurbanlara hatalı biçimlendirilmiş bir RAR arşiv dosyası içeren spam e-postalar gönderildi. RAR dosyası, Windows Komut Dosyası Ana Bilgisayarında (WSH) yazılmış bir komut dosyası ve açıldığında kötü amaçlı JavaScript barındıran uzak bir sunucuyla bağlantı kuran bir Word Belgesi içeriyordu.

Sonuç olarak, JavaScript kodu, WSH komut dosyasını başlatmak ve Formbook kötü amaçlı yazılım yükünü saldırgan kontrollü bir web sitesinden almak için RAR dosyasında yerleşik bir PowerShell komutu yürütmek için Word Belgesini bir kanal olarak kullandı.

İstismarın kullanımda bir günden biraz fazla bir süre sonra neden ortadan kaybolduğuna gelince, ipuçları, değiştirilmiş RAR arşiv dosyalarının WinRAR yardımcı programının eski sürümleriyle çalışmadığı gerçeğinde yatmaktadır. Araştırmacılar, "Yani, beklenmedik bir şekilde, bu durumda WinRAR'ın çok daha eski, modası geçmiş sürümünün kullanıcıları, en son sürümün kullanıcılarından daha iyi korunurdu" dedi.

Andrew Brandt, "Bu araştırma, tek başına yama uygulamasının her durumda tüm güvenlik açıklarına karşı koruma sağlayamayacağının bir hatırlatıcısıdır. Bir kullanıcının yanlışlıkla kötü amaçlı bir belgeyi tetiklemesini önleyen kısıtlamalar koymak yardımcı olur, ancak insanlar yine de 'içeriği etkinleştir' düğmesini tıklamaya yönlendirilebilir." dedi.

Brandt, "Bu nedenle, çalışanları eğitmek ve e-postayla gönderilen belgelerden, özellikle de tanımadıkları kişilerden veya şirketlerden alışılmadık veya alışılmadık sıkıştırılmış dosya biçimleriyle geldiklerinde şüphe duymalarını hatırlatmak hayati önem taşıyor" diye ekledi.

Bu makalemizi beğendiyseniz sizleri Exploit Nedir? adlı makalemize bekliyoruz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.