CVE-2023-36884 - Microsoft Office ve Windows HTML Uzaktan Erişim Nedir ?
Temmuz'un Yama Salı yayınıyla, Microsoft sıfır gün Office ve Windows HTML Uzaktan Kod Çalıştırma Açığı olan CVE-2023-36884'ü duyurdu ve "önemli" şiddetinde derecelendirdi. Microsoft, özel olarak hazırlanmış Microsoft Office belgeleri kullanılarak bu açığın etkin olarak kullanıldığını gözlemledi. Söz konusu açığın istismarı için kullanıcının kötü niyetli belgeyi açması gerektiği unutulmamalıdır.
Unit 42 Tehdit İstihbaratı, bu açığın en azından 3 Temmuz 2023'ten beri kullanıldığını doğrulayabilir. Detaylı analiz devam etmekte olup, analiz tamamlandıkça bu Tehdit Özeti güncellenecektir.
Microsoft, bu açığın istismarını engelleyen bir yama yayınlamıştır. Yama yapamayanlar için, ofis uygulamalarının çocuk süreçler oluşturmasını engellemeyi veya istismardan kaçınmak için FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kaydını etkinleştirmeyi önermektedir. Daha fazla bilgi için Güvenlik Güncellemeleri sayfasına bakınız.
Palo Alto Networks müşterileri, CVE-2023-36884'e karşı aşağıdaki şekillerde koruma ve azaltma sağlar:
Organizasyonlar, bu tehdit ve diğerleriyle ilgili belirli yardım için Unit 42 Olay Yanıt ekibini devreye alabilir.
Cortex XDR ve XSIAM ajanları, CVE-2023-36884'ün istismar edilmesi ile ilişkilendirilen sonraki istismar etkinliklerine karşı koruma sağlar ve Windows ortamlarında RomCom ikili dosyaları için Yerel Analiz algılamalarını kullanır.
Cortex XDR, CVE-2023-36884 için halka açık bilinen istismar zincirini engeller.
Gelişmiş WildFire, son derece kaçak kötü amaçlı yazılımları içeren saldırıları tespit etmeye ve önlemeye yardımcı olabilir.
İleri Nesil Tehdit Önleme güvenlik abonelikleri ile birlikte Gelişmiş Tehdit Önleme Güvenlik Duvarı, ilişkilendirilen yükleri ve saldırıyı engellemeye yardımcı olabilir.
Bulut-tabanlı Güvenlik Hizmetleri, bu etkinlikle ilişkilendirilen C2 alanlarını kötü amaçlı olarak kategorize edebilir.
| Vulnerabilities Discussed | CVE-2023-36884, RomCom RAT |
Açığın Detayları
Şimdiye kadar görülen tüm istismar örneklerinin, kullanıcının kötü niyetli bir belgeyi açmasını gerektirdiğini belirtmek önemlidir. Kullanıcı kötü niyetli belgeyi açtıktan sonra, bir betik içeren bir dosya indirir, bu da kötü niyetli bir yükün indirilmesine neden olan bir iframe enjeksiyonunu başlatır. Şu anda, temel açığın teslimat için ofis belgelerine dayalı olup olmadığı belirsizdir. Açığın, henüz görülmemiş başka teslimat mekanizmaları kullanılarak istismar edilebileceği mümkündür. Örneğin, Microsoft'un güvenlik danışmanlığı, güvensiz bölgelerden (İnternet bölgesi veya Kısıtlı Siteler bölgesi gibi) köken alan dosya: protokolünü kullanan URL'leri engelleyecek bir kayıt defteri anahtarının altına dokuz uygulamadan biri olarak wordpad.exe eklemeyi öneren bir azaltma içerir.
Saldırının Mevcut Kapsamı
Unit 42 Tehdit İstihbaratı, bu açığın en azından 3 Temmuz 2023'ten beri kullanıldığını doğrulayabilir. Bu açığın erken istismarı, RomCom kötü amaçlı yazılımının kullanılmasını içerir ve bu, Microsoft'un 11 Temmuz 2023'te rapor ettiği bildirildi. Unit 42 tarafından Mayıs 2022'de ilk olarak gözlemlenen RomCom, düşük hacimli bir kötü amaçlı yazılım ailesidir ve geçmiş yıl boyunca çeşitli saldırılarda, fidye yazılımı saldırıları ve hedefe yönelik casuslukla ilişkili saldırılar da dahil olmak üzere tespit edilmiştir. Yazılım, bir Uzaktan Erişim Truva Atı (RAT) olarak hareket eder ve saldırganlara, dizin listeleri, dosya sistemi değişiklikleri, dosya yükleme ve indirme işlemleri ile işlem yürütme gibi çeşitli yetenekler sağlar.
Geçici Kılavuz
Microsoft, istismardan kaçınmak için ofis uygulamalarının çocuk süreçler oluşturmasını engellemeyi veya FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kayıt defteri anahtarını ayarlamayı önermektedir. Daha fazla bilgi için Güvenlik Güncellemeleri sayfasına bakınız.
