Microsoft, Saldırılar İçin Office Dosyalarından Yararlanan Windows Zero-Day Açığını Doğruladı
Microsoft, MSHTML'de, istismar edildiğinde uzaktan kod yürütülmesine izin veren bir Windows sıfır gün güvenlik açığını kabul etti. Sorun, Windows 7'den Windows 10'a kadar olan tüm sürümleri ve ilgili Windows Server sürümlerini etkiliyor. Şirket, MSRC'de CVE-2021-40444 kapsamında güvenlik açığını izliyor ve güvenlik açığından yararlanan kötü amaçlı Office belgeleri oluşturarak gerçekleştirilen "hedefli saldırıların" farkında olduğunu ekliyor.
Firma, bir saldırganın Office'in MSHTML tarayıcı oluşturma motoru tarafından kullanılmak üzere bir ActiveX denetimi oluşturabileceği ve kullanıcı tarafından açıldığında uzaktan kod yürütülmesine izin verebileceği ayrıntıları ekliyor. Ancak, dosyaları İnternetten Korumalı Görünüm'de veya Office için Uygulama Koruması aracılığıyla açmak için varsayılan seçeneği kullananlar, saldırıyı savuşturabilir. Ek olarak, Microsoft Defender Antivirus ve Defender for Endpoint, tehdidi başarıyla algılayabilir. Bu tehdit için görüntülenen Defender for Endpoint uyarısı “Şüpheli Cpl Dosyası Yürütme”dir.
Firma tarafından yayınlanan başka bir geçici çözüm, tüm ActiveX denetimlerinin kayıt defteri aracılığıyla yüklenmesini devre dışı bırakmayı içerir. Firma, değişikliğin önceden kurulmuş olan kontrolleri etkilemeyeceğini, ancak yine de korunacağını belirtiyor.
Kalıcı bir düzeltme veya hafifletme için Microsoft, araştırmasının tamamlanmasının ardından "uygun bir işlem" yapacağını söylüyor. Bu, önümüzdeki haftanın Salı Yaması güncellemeleri sırasında veya planlanan aylık yamalar öncesinde bant dışı bir güvenlik güncellemesi yoluyla düzeltmeler şeklinde gelebilir. Bu güvenlik açığının ortaya çıkarılmasına yardımcı olan siber güvenlik kuruluşlarından bir araştırmacı olan Haifei Li, BleepingComputer'a yaptığı açıklamada, ekleme yönteminin "%100 güvenilir" olduğunu ve bunun önemli bir risk oluşturduğunu söyledi. EXPMON araştırmaları, en son Office 365 derlemesini çalıştıran Windows 10'daki saldırıyı da yeniden üretebilir.
Bu hafta bildirilen Office ile ilgili başka bir sorun, Outlook'ta şüpheli e-posta kimliklerinin gerçek görünmesine izin veren ve kullanıcıları olası kimlik avı saldırılarına açan bir hatayla ilgiliydi. Firma, güvenlik açığını düzeltmeyi reddetse de, bunu en son sürümde yaptığı bildiriliyor.