16.8 C
İstanbul
15/04/2024
Image default
Güncel ZafiyetlerHaberler

MICROSOFT WINDOWS ZERO-DAY SALDIRILARININ HEDEFİNDE

Giriş

Microsoft tarafından 7 Eylül’de yapılan açıklamada, MSHTML üzerinde uzaktan kod yürütme açıklığı bulunduğu ve bu açıklığın Microsoft Office dokümanları kullanılarak sömürülebildiği bilgisi paylaşılmıştır. Devam eden inceleme ve yama çalışmalarına karşın açıklığın engellenmesini sağlayan nihai bir yama bulunmamaktadır.

CVE-2021-40444 kodu ile eşleşen bu açıklıkla anılan MSHTML, aka Trident, Internet Explorer üzerinde konumlanmakta ve HTML dosyalarını okuyup görüntülemek için çalışmaktadır. Internet Explorer’ın fişinin çekilmesine rağmen Microsoft Office tarafından Explorer özellikleri kullanılabilmektedir.

Zafiyetin Sömürülmesi

Bu açıklık, bir Microsoft Office dokümanı yardımıyla ActiveX’i zararlı bir biçimde kullanarak web tarayıcısı kontrolünü ele geçirmektedir. Bu noktada zararlı dosya iletim yöntemlerine dikkat etmenin önemi ortaya çıkmaktadır. Aynı zamanda düşük yetkili kullanıcı profilleri de görece daha az etkilenebilecek grupta olarak değerlendirilmektedir. Yine Microsoft tarafından yapılan açıklamada açıklığın belirgin bir şekilde bir sömürü aracı olarak kullanıldığına dair duyum almadıkları paylaşılmıştır.

Sonuç

Başlangıçta da belirtildiği üzere henüz Microsoft tarafından yayınlanan bir yama bulunmamaktadır. Fakat Defender AV ve EDR için tespit ve engelleme noktasında bir güncelleme olduğu bilgisi paylaşılmıştır. Bu noktada AV çözümlerinin bu açıklık karşısındaki güncelliğine dikkat edilmelidir.

Tedbir noktasında ActiveX kontrollerinin devre dışı bırakılması, bir diğer çözüm önerisi olarak karşımıza çıkmaktadır.

ActiveX kontrollerinin devre dışı bırakılması için gerekli adımlar aşağıdaki gibidir:

Resim 1: Dosya İçeriği
  1. Yukarıda (Resim 1) detayları paylaşılan kaydın text olarak oluşturulup reg dosya uzantısıyla kaydedilmesi gerekmektedir.
  2. Reg uzantılı dosya çalıştırılarak Policy uygulanır.
  3. Sistem yeniden başlatılır ve konfigürasyonun tamamlanma durumu kontrol edilir.

Bunlara ek olarak oltalama saldırıları gibi ofis dosyalarının iletilme yöntemlerine karşı hassasiyet geliştirilmelidir.

Referanslar

https://www.bankinfosecurity.com/zero-day-attacks-exploit-mshtml-flaw-in-microsoft-windows-a-17482

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40444

Related posts

Süper Mining

Mustafa Okay Maktav

POLONYAYA ENFORMASYON SALDIRISI

Mustafa Okay Maktav

DeathStalker’dan PowerPepper

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası