Giriş
Microsoft tarafından 7 Eylül’de yapılan açıklamada, MSHTML üzerinde uzaktan kod yürütme açıklığı bulunduğu ve bu açıklığın Microsoft Office dokümanları kullanılarak sömürülebildiği bilgisi paylaşılmıştır. Devam eden inceleme ve yama çalışmalarına karşın açıklığın engellenmesini sağlayan nihai bir yama bulunmamaktadır.
CVE-2021-40444 kodu ile eşleşen bu açıklıkla anılan MSHTML, aka Trident, Internet Explorer üzerinde konumlanmakta ve HTML dosyalarını okuyup görüntülemek için çalışmaktadır. Internet Explorer’ın fişinin çekilmesine rağmen Microsoft Office tarafından Explorer özellikleri kullanılabilmektedir.
Zafiyetin Sömürülmesi
Bu açıklık, bir Microsoft Office dokümanı yardımıyla ActiveX’i zararlı bir biçimde kullanarak web tarayıcısı kontrolünü ele geçirmektedir. Bu noktada zararlı dosya iletim yöntemlerine dikkat etmenin önemi ortaya çıkmaktadır. Aynı zamanda düşük yetkili kullanıcı profilleri de görece daha az etkilenebilecek grupta olarak değerlendirilmektedir. Yine Microsoft tarafından yapılan açıklamada açıklığın belirgin bir şekilde bir sömürü aracı olarak kullanıldığına dair duyum almadıkları paylaşılmıştır.
Sonuç
Başlangıçta da belirtildiği üzere henüz Microsoft tarafından yayınlanan bir yama bulunmamaktadır. Fakat Defender AV ve EDR için tespit ve engelleme noktasında bir güncelleme olduğu bilgisi paylaşılmıştır. Bu noktada AV çözümlerinin bu açıklık karşısındaki güncelliğine dikkat edilmelidir.
Tedbir noktasında ActiveX kontrollerinin devre dışı bırakılması, bir diğer çözüm önerisi olarak karşımıza çıkmaktadır.
ActiveX kontrollerinin devre dışı bırakılması için gerekli adımlar aşağıdaki gibidir:
- Yukarıda (Resim 1) detayları paylaşılan kaydın text olarak oluşturulup reg dosya uzantısıyla kaydedilmesi gerekmektedir.
- Reg uzantılı dosya çalıştırılarak Policy uygulanır.
- Sistem yeniden başlatılır ve konfigürasyonun tamamlanma durumu kontrol edilir.
Bunlara ek olarak oltalama saldırıları gibi ofis dosyalarının iletilme yöntemlerine karşı hassasiyet geliştirilmelidir.
Referanslar
https://www.bankinfosecurity.com/zero-day-attacks-exploit-mshtml-flaw-in-microsoft-windows-a-17482
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40444
