
mturhanlar | Getty Resimleri
Araştırmacılar, geçen hafta sonu Microsoft’un Destek Tanılama Aracındaki bir kusurun, hedef cihazların kontrolünü uzaktan ele geçirmek için kötü amaçlı Word belgeleri kullanılarak istismar edilebileceği konusunda uyardılar. Microsoft, geçici savunma önlemleri de dahil olmak üzere Pazartesi günü kılavuz yayınladı. Salı günü, Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı, “uzak, kimliği doğrulanmamış bir saldırganın, Follina olarak bilinen bu güvenlik açığından yararlanarak, etkilenen bir sistemin kontrolünü ele geçirebileceği” konusunda uyarmıştı. Ancak şirket, kusurun vahşi saldırganlar tarafından aktif olarak istismar edildiğini kabul etmesine rağmen, Microsoft, güvenlik açığı için bir yamanın ne zaman geleceğini veya gelip gelmediğini söylemedi. Ve şirket, WIRED tarafından sorulduğunda hala bir yama olasılığı hakkında yorum yapmadı.
Bir Windows destek aracındaki Follina güvenlik açığı, özel hazırlanmış bir Word belgesi tarafından kolayca kullanılabilir. Cazibe, kötü amaçlı bir HTML dosyasını alabilen ve nihayetinde bir saldırganın Windows içinde Powershell komutlarını yürütmesine izin verebilen uzak bir şablonla donatılmıştır. Araştırmacılar, hatayı “sıfır gün” veya daha önce bilinmeyen bir güvenlik açığı olarak tanımlayacaklarını, ancak Microsoft’un bunu bu şekilde sınıflandırmadığını belirtiyor.
Güvenlik firması SentinelOne’da kıdemli tehdit araştırmacısı Tom Hegel, “İstismarla ilgili kamuoyu bilgisi büyüdükten sonra, onu kullanmaya başlayan çeşitli saldırganlardan anında yanıt almaya başladık” diyor. Saldırganların şu ana kadar öncelikle kusuru kötü amaçlı belgeler aracılığıyla istismar ettiği gözlemlenirken, araştırmacıların ağ trafiğinde HTML içeriğinin manipülasyonu da dahil olmak üzere başka yöntemler de keşfettiğini ekliyor.
Hegel, “Kötü niyetli belge yaklaşımı son derece endişe verici olsa da, istismarın tetiklenebileceği daha az belgelenmiş yöntemler, yama yapılana kadar rahatsız edici” diyor. “Fırsatçı ve hedefli tehdit aktörlerinin, seçenek mevcut olduğunda bu güvenlik açığını çeşitli şekillerde kullanmasını beklerdim – bu çok kolay.”
Güvenlik açığı, Windows’un tüm desteklenen sürümlerinde mevcuttur ve Microsoft Office 365, Office 2013 ila 2019, Office 2021 ve Office ProPlus aracılığıyla kullanılabilir. Microsoft’un önerdiği başlıca azaltma, Destek Tanılama Aracı içindeki belirli bir protokolün devre dışı bırakılmasını ve istismarı izlemek ve engellemek için Microsoft Defender Antivirus’ü kullanmayı içerir.
Ancak olay müdahale ekipleri, güvenlik açığından yararlanmanın ne kadar kolay olduğu ve ne kadar kötü amaçlı etkinlik tespit edildiği göz önüne alındığında daha fazla eylemin gerekli olduğunu söylüyor.
Çin hükümeti destekli bilgisayar korsanlarına odaklanan güvenlik firması Proofpoint’te personel tehdidi araştırmacısı Michael Raggi, “Çeşitli APT aktörlerinin bu tekniği Follina güvenlik açığından yararlanan daha uzun enfeksiyon zincirlerine dahil ettiğini görüyoruz” diyor. 30 Mayıs 2022’de Çinli APT aktörü TA413’ün Merkezi Tibet Yönetimi’nin kimliğine bürünen bir e-postada kötü niyetli bir URL gönderdiğini gözlemledik. Farklı aktörler, önceden var olan araç setlerine ve uygulanan taktiklere bağlı olarak, Follina ile ilgili dosyalara enfeksiyon zincirlerinin farklı aşamalarında yer veriyorlar.”
Araştırmacılar ayrıca görülen kötü niyetli belgeler sömürmek Rusya, Hindistan, Filipinler, Beyaz Rusya ve Nepal’deki hedefleri olan Follina. Bir lisans araştırmacısı kusuru ilk olarak Ağustos 2020’de fark etti, ancak ilk olarak 21 Nisan’da Microsoft’a bildirildi. Araştırmacılar ayrıca Follina saldırılarının saldırganlar için özellikle yararlı olduğunu, çünkü çok kötüye kullanılan Office Macros’a güvenmeden kötü amaçlı belgelerden kaynaklanabileceklerini belirttiler. Microsoft’un dizginlemek için çalıştığı belge özelliği.
Proofpoint’in tehdit araştırmalarından sorumlu başkan yardımcısı Sherrod DeGrippo, “Proofpoint, kimlik avı kampanyalarında Follina güvenlik açığını birleştiren çeşitli aktörler belirledi” diyor.
Tüm bu gerçek dünya istismarı ile soru, Microsoft’un şimdiye kadar yayınladığı kılavuzun yeterli ve riskle orantılı olup olmadığıdır.
Güvenlik firması Scythe’de siber tehdit istihbaratı direktörü Jake Williams, “Güvenlik ekipleri, Microsoft’un kayıtsız yaklaşımını, bunun ‘sadece başka bir güvenlik açığı’ olduğunun bir işareti olarak görebilirler, ki bu kesinlikle değildir” diyor. “Microsoft’un, özellikle vahşi doğada aktif olarak istismar edilirken neden bu güvenlik açığını önemsiz göstermeye devam ettiği açık değil.”
Bu hikaye başlangıçta kablolu.com’da yayınlandı.