Güvenlik araştırmacıları, bir word dosyası ve Microsoft Tanı Aracı (MSDT) aracılığıyla kötü amaçlı PowerShell komutlarını yürütmek için kullanılabilecek yeni bir Microsoft Office sıfır gün güvenlik açığı keşfettiler. Infosec topluluğu tarafından ‘Follina’ olarak adlandırılan güvenlik açığı, MSDT aracılığıyla PowerShell komutlarını yürüten kötü amaçlı Word belgeleri kullanılıyor. Yeni sıfır gün, yükseltilmiş ayrıcalıklar olmadan çalıştığı, Windows Defender algılamasını atladığı ve ikili dosyaları veya komut dosyalarını yürütmek için etkinleştirilecek makro koduna ihtiyaç duymadığı için Microsoft Office programlarından yararlanan yeni bir kritik saldırı vektörü olarak görülüyor.
Tesadüfen bulundu
Güvenlik araştırmacısı nao_sec, Beyaz Rusya’daki bir IP adresinden Virus Total tarama platformuna gönderilen kötü amaçlı bir Word belgesi buldu. Araştırmacı: “VirusTotal’da CVE-2021-40444’ten yararlanan dosyaları arıyordum. Sonra ms-msdt şemasını kötüye kullanan bir dosya buldum” dedi. “HTML’yi yüklemek için Word’ün harici bağlantısını kullanıyor ve ardından PowerShell kodunu yürütmek için ‘ms-msdt’ şemasını kullanıyor,” diye de ekledi.
Güvenlik araştırmacısı Kevin Beaumont, makro komut dosyaları devre dışı bırakılmış olsa bile Microsoft Word’ün MSDT kullanarak yürüttüğü bir komut satırı dizesi olduğunu açıkladı.
Yukarıdaki PowerShell betiği, bir RAR dosyasından Base64 ile kodlanmış bir dosya çıkaracak ve çalıştıracaktır. Bu dosya artık mevcut olmadığından, bu nedenle saldırının hangi kötü amaçlı saldırıyı gerçekleştirdiği de belli olmuyor. Birden fazla güvenlik araştırmacısı nao_sec tarafından paylaşılan kötü amaçlı belgeyi analiz etti ve açıktan yararlanarak birden çok Microsoft Office sürümünü başarıyla istismar edebildi. Araştırmacılar güvenlik açığının Office 2013, 2016, Nisan’dan itibaren Office Pro Plus’ta (Mayıs güncellemeleriyle birlikte Windows 11’de) ve Office 2021’in yamalı bir sürümünde bulunduğunu onayladılar:
Bugün ayrı bir analizde Huntress’teki araştırmacılar , istismarı analiz etti ve nasıl çalıştığına dair daha fazla teknik ayrıntı sağladı. Huntress, bir RTF belgesinin, yaygın olarak “sıfır tıklamayla yararlanma” olarak bilinen şey için, kullanıcıdan herhangi bir etkileşim olmaksızın (seçilmesi dışında) payload yükleyeceğine dair bulgusunu doğruladı.
Araştırmacılar, playload’a bağlı olarak bir saldırganın bu istismarı kurbanın ağından başka konumlara ulaşmak için de kullanabileceğini söylüyor.
Nisan ayında Microsoft’a bildirildi
Güvenlik araştırmacıları, Follina güvenlik açığının keşfedildiğini ve Nisan ayında Microsoft’a bildirildiğini söylediler. Microsoft 12 Nisan’da güvenlik açığını (VULN-065524) kapattı ve uzaktan kod yürütme güvenlik raporunda ile “Bu sorun düzeltildi” olarak sınıflandırdı. Ancak Microsoft’un bunun neden bir güvenlik riski olarak kabul edilmediği şu an için belirsizliğini koruyor.
Kaynak: bleepingcomputer.com
