Ciddi Windows tanı aracı güvenlik açığı, bilgisayar korsanlarının bir bilgisayarı ele geçirmesine olanak tanır

Microsoft Corp.’un Windows Destek Tanılama Aracında resmi olarak onaylanmış bir güvenlik açığı, bilgisayar korsanlarının uzaktan kod çalıştırmasına ve hedeflenen bir Windows bilgisayarını ele geçirmesine izin verebilir.

Microsoft Destek Tanılama Aracı’nda CVE-2022-30190 olarak bilinen, ilk rapor edilen 27 Mayıs Nao Sec ve ardından daha detaylı 29 Mayıs, güvenlik araştırmacısı Kevin Beaumont tarafından “Follina” olarak adlandırıldı. Güvenlik açığı öncelikle Office ile ilgilidir, ancak temel bir Windows işlevine de sıçrar.

Bu durumda güvenlik açığı, bilgisayar korsanlarının kötü amaçlı Word belgeleri aracılığıyla Windows kullanıcılarını hedeflemesine olanak tanır. Kötü niyetli Word belgesi, uzak bir sunucudan bir HTML dosyası almak için uzak şablon özelliğini kullanır. İndirme, ek kod indirmek ve kötü amaçlı PowerShell kodunu yürütmek için Microsoft Destek Tanılama Aracı protokol şemasından yararlanır.

Şüpheli kod içeren Microsoft Word belgeleri yeni değil, ancak bunun ilginç olduğu nokta, MSDT’de önceden bilinmeyen bir güvenlik açığından yararlanmasıdır. Microsoft da güvenlik açığını onayladı.

İçinde Blog yazısı Pazartesi günü, Microsoft Güvenlik Yanıt Merkezi, sorunu Word gibi bir çağrı uygulamasından URL protokolü kullanılarak MSDT çağrıldığında bir uzaktan kod yürütme güvenlik açığı olarak tanımlıyor. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, çağıran uygulamanın ayrıcalıklarıyla rasgele kod çalıştırabilir.

Microsoft’un güvenlik ekibi, saldırganın daha sonra kullanıcı haklarının izin verdiği bağlamda programları yükleyebileceğini, verileri görüntüleyebileceğini, değiştirebileceğini, verileri sebileceğini veya yeni hesaplar oluşturabileceğini ekledi.

Acil çözüm, MSDT URL protokolünü devre dışı bırakmaktır. Bu, Komut İstemi’ni Yönetici olarak çalıştırmayı ve “reg delete HKEY_CLASSES_ROOT\ms-msdt /f” komutunu yürütmeyi içerir.

Microsoft ayrıca Microsoft Defender Antivirus kullanıcılarının bulut tarafından sağlanan korumayı ve otomatik numune gönderimini açmasını önerir.

Bilgi güvenliği danışmanlık firmasında rakip işbirliği mühendisi Anton Ovrutsky, “Microsoft Office ürünleri, çalışanlar iş sorumluluklarının bir parçası olarak sürekli olarak çeşitli belgelerle çalıştıkları için tehdit aktörlerine çekici bir saldırı yüzeyi sunuyor.” Lares LLC, dedi SiliconANGLE. “Microsoft, en son Office sürümlerinde varsayılan olarak makro işlevselliğini devre dışı bırakmak da dahil olmak üzere birkaç sağlamlaştırma değişikliği uygulamış olsa da, bu son sıfır gün, yalnızca Office’te bulunan büyük saldırı yüzeyini değil, aynı zamanda Office uygulamalarını uç noktada düzgün bir şekilde sertleştirme ve izleme ihtiyacını da göstermektedir. seviye, algılama ve yanıt açısından.

Mike Parkin, siber risk yönetimi şirketinde kıdemli teknik mühendis Vulcan Siber Ltd.Word ve diğer MS Office belgelerinin uzun süredir popüler bir saldırı vektörü olduğunu kaydetti.

Parkin, “Ofis makroları yıllardır denenmiş ve gerçek bir saldırı vektörü olmuştur, bu yüzden ‘istenmeyen ofis belgelerine asla güvenmeyin’ diye bir şey var” dedi. “Ofis belgelerindeki makrolar onlara büyük esneklik sağladı, ancak aynı zamanda saldırganların kötüye kullanması kolaydı.”

Dijital adli tıp ve olay müdahale firmasında güvenlik operasyonları direktörü Alex Ondrick BreachQuest Inc.saldırganların, kullanıcıları kimlik avı e-postalarıyla etkileşime girmeye ikna etmek için çok çeşitli özel komut dosyaları, kopyalanan kodlar ve sosyal mühendislik saldırıları kullandığını söyledi.

Ondrick, “Microsoft’un kullanımı endişe verici, ancak şaşırtıcı değil – Microsoft, ms-MSDT’nin geniş bir saldırı yüzeyine sahip olduğunun ve müşterilerinin büyük bir bölümünü etkilediğinin farkında görünüyor” dedi. “Tarihsel bağlamı göz önüne alındığında, Microsoft’un bu sıfır günü kontrol altına almak için özenle çalıştığını hayal ediyorum.”

Resim: Ctrl.blog