Haberler

Kabusun Yeni Adı: Follina Microsoft Protocol Nightmare

Yeni zero-day güvenlik açığı, bir Word belgesini kullanarak uzaktan kötü amaçlı yazılım çağırabilir. Windows, uygulamaların ve HTML bağlantılarının bir cihazda özelleştirilmiş aramalar başlatmasına izin veren ‘search-ms’ adlı bir URI protokolü desteklediğinden güvenlik zafiyetinden yararlanılabilinir. Örneğin, popüler Sysinternals araç seti,  yardımcı programlarını başlatmak için live.sysinternals.com’u  bir ağ paylaşımı olarak uzaktan bağlamanızı sağlar. Bu uzak paylaşımı aramak ve yalnızca belirli bir adla eşleşen dosyaları listelemek için aşağıdaki ‘search-ms’ URI’sini kullanabilirsiniz

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Yukarıdaki komuttan da görebileceğiniz gibi, search-ms ‘crumb’ değişkeni aranacak konumu, ‘displayname’ değişkeni ise arama başlığını belirtir. Bu komut, aşağıda gösterildiği gibi Windows 7, Windows 10 ve Windows 11’de çalıştır iletişim kutusundan veya web tarayıcısı adres çubuğundan yürütüldüğünde özelleştirilmiş bir arama penceresi görünecektir.

Pencere başlığının, arama-ms URI’sinde belirttiğimiz ‘Sistem İçi Arama’ görünen adına nasıl ayarlandığına dikkat edin. Saldırganlar aynı yaklaşımı, güvenlik güncellemeleri veya yüklenmesi gereken yamalar gibi davranarak kimlik avı e-postalarının gönderildiği kötü amaçlı saldırılar için kullanabilir. Hacker House kurucu ortağı ve güvenlik araştırmacısı Matthew Hickey, yeni keşfedilen Microsoft Office OLEObject kusurunu arama-ms protokol işleyicisiyle birleştirerek, yalnızca bir Word belgesi açarak uzak bir arama penceresi açmanın bir yolunu buldu. Bu hafta araştırmacılar , saldırgaların Microsoft Windows Destek Tanılama Aracı’nda (MSDT) yeni bir Windows sıfırıncı gün güvenlik açığı kullandığını keşfetti. Bunu kullanarak PowerShell komutlarını yürütmek için ‘ms-msdt’ URI protokol işleyicisini başlatan kötü amaçlı Word belgeleri oluşturdular. CVE-2022-30190 olarak tanımlanan zafiyet, Microsoft Office belgelerini korumalı görünümü atlatarak ve URI protokol işleyicilerini kullanıcılar tarafından etkileşime girmeden başlatacak şekilde değiştirmeyi başardı. Bu da protokol işleyicilerinin daha fazla kötüye kullanılmasına yol açıyor. Yeni PoC ile, bir kullanıcı bir Word belgesi açtığında, uzak bir SMB paylaşımındaki yürütülebilir dosyaları listeleyen bir Windows Arama penceresi açmak için otomatik olarak ‘search-ms’ komutu başlatabilir.

MSDT istismarları gibi, Hickey de belge Explorer önizleme bölmesinde otomatik olarak bir Windows Arama penceresi açan RTF sürümleri oluşturabileceğinizi gösterdi.

Bu tür kötü amaçlı Word belgesini kullanarak, alıcıların cihazlarında kötü amaçlı yazılım başlatmaları için kandırarak kimlik avı saldırıları başlatabilir. CERT/CC güvenlik açığı analisti Will Dormann’ın dediği gibi, bu istismarlar aslında iki farklı zafiyeti kullanıyor. Microsoft Office URI sorunu çözülmeden başka protokol işleyicileri kötüye kullanılacaktır diye ekliyor.

Sorunu yalnızca protokol işleyici/Windows özellik tarafında ele alan Microsoft, araştırmacıların saldırılarda kötüye kullanmak için yeni URI işleyicileri bulmaya devam edeceği yepyeni bir ‘ProtocolNightmare’ sınıflandırmasıyla karşı karşıya kalabilir.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu