Microsoft, 7 Eylül 2021'de Windows 10'da bir uzaktan kod çalıştırma (RCE) güvenlik açığı meydana geldiğini doğruladı. CVE-2021-40444 [1] olarak sınıflandırılan güvenlik açığı, siber suçluların güvenliği ihlal edilmiş bir sistemin uzaktan kontrolünü ele geçirmesine ve vahşi ortamda sıfırıncı gün saldırıları oluşturmasına olanak sağlayabilir.
Kusur, Internet Explorer'daki bir tarayıcı oluşturma motoru olan MSHTML'de yatmaktadır. motoru Microsoft Office belgelerinde de kullanılmaktadır. CVE-2021-40444'ün şu anda yaygın olarak istismar edilen bir tehdit emülasyon çerçevesi olan Cobalt Strike yüklerini dağıtmak için kullanıldığı bilinmektedir.
EXPMON'daki bir araştırmacı bu sıfırıncı günü ilk kez bir tweet'te tespit etti ve "Office kullanıcıları Office dosyaları konusunda son derece dikkatli olsunlar" dedi. Araştırmacılar olayı 5 Eylül Pazar günü Microsoft'a bildirdiler. Microsoft da kısa bir süre sonra bir Güvenlik Danışmanlığı yayınlayarak şirket araştırmalarını sürdürürken geçici çözümler önerdi. 14 Eylül'de Microsoft güvenlik açığını düzeltti [2].
Saldırganlar CVE-2021-40444'ü Nasıl İstismar Ediyor?
Siber suçlular bir Microsoft Office belgesinin (.docx) içinde kötü amaçlı bir ActiveX kontrolü oluşturabilir. Bu belge, MSTHML tarayıcı oluşturma motoru ve oluşturulan bir web sayfasına yönlendiren bir OLEObject için ana bilgisayar görevi görür.
Saldırganın daha sonra bu belgeyi açması için hedefini kandırması gerekecektir. Açıldıktan sonra, MSTHML motoru ActiveX kontrolünü kullanarak gizlenmiş komut dosyaları içeren bir HTML dosyasını çalıştıracak ve ardından kötü amaçlı yazılım yüklerinin veya uzaktan erişim kontrollerinin indirilmesini sağlayacaktır.
Microsoft, yönetici haklarına sahip kullanıcıların, sahip olmayan veya daha az kullanıcı hakkına sahip olanlara göre bu tür saldırılara karşı daha hassas olduğunu belirtti.
Hafifletme ve Geçici Çözüm
Microsoft, Internet Explorer'daki tüm ActiveX kontrol kurulumlarının devre dışı bırakılmasının mevcut saldırıları azaltmaya yardımcı olabileceğini tavsiye etti. Bu, Yerel Grup İlkesi Düzenleyicisi kullanılarak kayıt defterinin güncellenmesi yoluyla Grup İlkesi yapılandırılarak yapılabilir.Devre dışı bırakıldıktan sonra yeni ActiveX kontrolleri yüklenmeyecek ve önceki ActiveX kontrolleri çalışmaya devam edecektir.
Deep CDR Sıfırıncı Gün Saldırılarına Karşı Nasıl Koruma Sağlayabilir?
İçerik Silahsızlandırma ve Yeniden Yapılandırma (CDR) bu güvenlik açığı ile ilişkili risklerin azaltılmasına yardımcı olabilir. Deep CDR Tüm dosyaların kötü amaçlı olduğunu varsayar, ardından güvenli içerikle tam kullanılabilirlik sağlamak için dosya bileşenlerini sterilize eder ve yeniden oluşturur. Teknoloji, tüm dosya tabanlı tehditleri, karmaşık ve sanal alan farkındalığı olan tehditleri ve tamamen tespit edilemeyen kötü amaçlı yazılım veya gizleme gibi kötü amaçlı yazılımdan kaçınma teknolojisiyle donatılmış tehditleri etkili bir şekilde 'etkisiz hale getirebilir'.
Bu durumda, Deep CDR teknolojisi OLEObject ve ActiveX gibi tüm potansiyel tehdit nesnelerini belge dosyasından kaldırır. Temizleme işleminden sonra belge artık kötü amaçlı HTML bağlantısı içermez.
MetaDefender Cloud tarafından algılanan tehditler tarandı ve sonuçlar sterilizasyon eylemlerini destekliyor:
Temizleme işleminden sonra, sonuçlar OLEObject'in kaldırıldığını ve dosyanın açılmasının güvenli olduğunu gösterir:
Deep CDR Hakkında
Deep CDR teknolojisi, çok seviyeli arşiv işleme, dosya yenileme doğruluğu ve 100'den fazla dosya türü desteği gibi üstün özellikleriyle pazar lideridir. Teknolojimiz, neyin sterilize edildiğine ve verilerin nasıl sterilize edildiğine dair derinlemesine görünümler sağlayarak bilinçli seçimler yapmanıza ve kullanım durumlarınızı karşılamak için yapılandırmalar tanımlamanıza olanak tanır. Sonuç mu? Tehditlerin %100'ünün milisaniyeler içinde ortadan kaldırıldığı güvenli dosyalar, böylece iş akışınız kesintiye uğramaz.
Deep CDR ve OPSWAT 'in kuruluşunuzu nasıl koruyabileceği hakkında daha fazla bilgi edinmek için kritik altyapı siber güvenlik uzmanlarımızdan biriyle görüşün.
Referanslar
[1] "Microsoft MSHTML Uzaktan Kod Yürütme Güvenlik Açığı". 2021. Microsoft Güvenlik Yanıt Merkezi. https://msrc.microsoft.com/upd...
[2] "Microsoft, aktif olarak istismar edilen MSHTML sıfır gün RCE (CVE-2021-40444) yamaları". 14 Eylül 2021. Help Net Security. https://www.helpnetsecurity.co...
