CVE-2023-36884 - Microsoft Office ve Windows HTML Uzaktan Kod Yürütme Açığı Nedir ?
2023 Temmuz Ayında Salı Günü Güncelleme Yaması sürümüyle Microsoft, önem derecesini "önemli" olarak derecelendirdiği sıfır günlük Office ve Windows HTML Uzaktan Kod Yürütme Güvenlik Açığı'nı (CVE-2023-36884) açıkladı. Microsoft, özel hazırlanmış Microsoft Office belgeleri kullanılarak bu güvenlik açığından etkin bir şekilde yararlanıldığını gözlemlemiştir. İstismarın, kullanıcının kötü amaçlı belgeyi açmasını gerektirdiğine dikkat edilmelisini açıkldılar.
Microsoft , Microsoft Office için bu güvenlik açığının yürütülmesine yol açan saldırı zincirini durduran bir yama yayımladı . Düzeltme eki uygulayamayanlar için, Office uygulamalarının alt işlemler oluşturmasını engellemeyi veya istismarı önlemek için
FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
kayıt defteri anahtarını ayarlamayı önerirler. Daha fazla bilgi için Güvenlik Güncellemeleri sayfasına bakın .
CVE-2023-36884 Güvenlik Açığını İnceleyelim
Şimdiye kadar görülen tüm istismar örneklerinin, kullanıcının kötü amaçlı bir belge açmasını gerektirdiğini belirtmek gerekir. Kullanıcı kötü amaçlı belgeyi açtıktan sonra, kötü amaçlı bir payload indirilmesiyle sonuçlanan bir iframe enjeksiyonunu başlatan bir komut dosyası içeren bir dosya indirir. Altta yatan güvenlik açığının teslimat için ofis belgelerine bağlı olup olmadığı şu anda net değil. Güvenlik açığının, henüz görülmemiş diğer teslim mekanizmaları kullanılarak kullanılması mümkündür. Örneğin, Microsoft'un güvenlik danışma belgesi, wordpad.exe dosyasını, dosyayı kullanan url'leri engelleyen dokuz uygulamadan biri olarak wordpad.exe Dosyayı kullanan URL'leri engelleyen bir kayıt defteri anahtarı altındaki dokuz uygulamadan biri olarak:
İnternet bölgesi veya Yasak Siteler bölgesi gibi güvenilmeyen bölgelerden kaynaklanan protokol.
Saldırının Mevcut Alanlar
Unit 42 Tehdit İstihbaratı, bu güvenlik açığının en az 3 Temmuz 2023'ten beri kullanıldığını doğrulayabilir. Bu güvenlik açığından erken yararlanma , Microsoft tarafından 11 Temmuz 2023'te bildirilen RomCom kötü amaçlı yazılımının kullanımını içerir. İlk olarak Unit tarafından gözlemlenen RomCom 42, Mayıs 2022'de, fidye yazılımı saldırıları ve hedefli casuslukla ilgili saldırılar dahil olmak üzere geçtiğimiz yıl boyunca çeşitli saldırılarda tarihsel olarak gözlemlenen düşük hacimli bir kötü amaçlı yazılım ailesidir. Kötü amaçlı yazılım bir Uzaktan Erişim Truva Atı (RAT) görevi görür ve saldırgana dizin listeleri, dosya sistemi değişiklikleri, dosya yükleme ve indirme ve işlemlerin yürütülmesi dahil ancak bunlarla sınırlı olmamak üzere çeşitli yetenekler sağlar.
CVE-2023-36884 Çözümü Nedir ?
Microsoft Bunla İlgili bir yama yayınladı.O yama sayesinde çözüme kavuşabilirsiniz
Microsoft Office Defense in Depth Update
ADV230003Security Advisory
Konuyu Okuduğunuz İçin Teşekkürler İyi Forumlar Dileriz
Yararlandığım Kaynaklar:
1.Microsoft
2.PaloNetwork Şirketi
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
Konuyu Okuduğunuz İçin Teşekkürler İyi Forumlar Dileriz
Yararlandığım Kaynaklar:
1.Microsoft
2.PaloNetwork Şirketi