Microsoft, 7 Eylül 2021'de Windows 10'da bir uzaktan kod çalıştırma (RCE) güvenlik açığı meydana geldiğini doğruladı. CVE-2021-40444 [1] olarak sınıflandırılan güvenlik açığı, siber suçluların güvenliği ihlal edilmiş bir sistemin uzaktan kontrolünü ele geçirmesine ve vahşi ortamda sıfırıncı gün saldırıları oluşturmasına olanak sağlayabilir.
Kusur, Internet Explorer'daki bir tarayıcı oluşturma motoru olan MSHTML'de yatmaktadır. motoru Microsoft Office belgelerinde de kullanılmaktadır. CVE-2021-40444'ün şu anda yaygın olarak istismar edilen bir tehdit emülasyon çerçevesi olan Cobalt Strike yüklerini dağıtmak için kullanıldığı bilinmektedir.
EXPMON'daki bir araştırmacı bu sıfırıncı günü ilk kez bir tweet'te tespit etti ve "Office kullanıcıları Office dosyaları konusunda son derece dikkatli olsunlar" dedi. Araştırmacılar olayı 5 Eylül Pazar günü Microsoft'a bildirdiler. Microsoft da kısa bir süre sonra bir Güvenlik Danışmanlığı yayınlayarak şirket araştırmalarını sürdürürken geçici çözümler önerdi. 14 Eylül'de Microsoft güvenlik açığını düzeltti [2].
Saldırganlar CVE-2021-40444'ü Nasıl İstismar Ediyor?
Siber suçlular bir Microsoft Office belgesinin (.docx) içinde kötü amaçlı bir ActiveX kontrolü oluşturabilir. Bu belge, MSTHML tarayıcı oluşturma motoru ve oluşturulan bir web sayfasına yönlendiren bir OLEObject için ana bilgisayar görevi görür.
Saldırganın daha sonra bu belgeyi açması için hedefini kandırması gerekecektir. Açıldıktan sonra, MSTHML motoru ActiveX kontrolünü kullanarak gizlenmiş komut dosyaları içeren bir HTML dosyasını çalıştıracak ve ardından kötü amaçlı yazılım yüklerinin veya uzaktan erişim kontrollerinin indirilmesini sağlayacaktır.
Microsoft, yönetici haklarına sahip kullanıcıların, sahip olmayan veya daha az kullanıcı hakkına sahip olanlara göre bu tür saldırılara karşı daha hassas olduğunu belirtti.
Hafifletme ve Geçici Çözüm
Microsoft, Internet Explorer'daki tüm ActiveX kontrol kurulumlarının devre dışı bırakılmasının mevcut saldırıları azaltmaya yardımcı olabileceğini tavsiye etti. Bu, Yerel Grup İlkesi Düzenleyicisi kullanılarak kayıt defterinin güncellenmesi yoluyla Grup İlkesi yapılandırılarak yapılabilir.Devre dışı bırakıldıktan sonra yeni ActiveX kontrolleri yüklenmeyecek ve önceki ActiveX kontrolleri çalışmaya devam edecektir.
Deep CDR™ Teknolojisi Sıfırıncı Gün Saldırılarına Karşı Nasıl Koruma Sağlar?
İçerik Etkisizleştirme ve Yeniden Oluşturma (CDR), bu güvenlik açığıyla ilişkili risklerin azaltılmasına yardımcı olabilir. Deep CDR™ Teknolojisi, tüm dosyaların kötü amaçlı olduğunu varsayar; ardından dosya bileşenlerini temizler ve yeniden oluşturarak güvenli içerikle tam kullanılabilirliği sağlar. Bu teknoloji, tüm dosya tabanlı tehditleri, karmaşık ve sanal ortam farkındalığına sahip tehditleri ile tamamen tespit edilemeyen kötü amaçlı yazılımlar veya kod gizleme gibi kötü amaçlı yazılım kaçırma teknolojisine sahip tehditleri etkili bir şekilde "etkisiz hale getirebilir".
Bu durumda, Deep CDR™ Teknolojisi, belge dosyasından OLEObject ve ActiveX gibi tüm potansiyel tehdit nesnelerini kaldırır. Temizleme işleminden sonra, belgede artık zararlı HTML bağlantısı bulunmaz.
MetaDefender Cloud tarafından algılanan tehditler tarandı ve sonuçlar sterilizasyon eylemlerini destekliyor:
Temizleme işleminden sonra, sonuçlar OLEObject'in kaldırıldığını ve dosyanın açılmasının güvenli olduğunu gösterir:
Deep CDR™ Teknolojisi Hakkında
Deep CDR™ Teknolojisi, çok aşamalı arşiv işleme, dosya geri oluşturma doğruluğu ve 100'den fazla dosya türünü destekleme gibi üstün özellikleriyle pazar lideridir. Teknolojimiz, hangi verilerin nasıl temizlendiğine dair ayrıntılı bir bakış sunarak, bilinçli kararlar almanızı ve kullanım senaryolarınıza uygun yapılandırmalar tanımlamanızı sağlar. Sonuç mu? Tehditlerin %100'ü milisaniyeler içinde ortadan kaldırılmış güvenli dosyalar; böylece iş akışınız kesintiye uğramaz.
Deep CDR™ Teknolojisi hakkında daha fazla bilgi edinmek ve OPSWAT kuruluşunuzu nasıl OPSWAT öğrenmek için kritik altyapı siber güvenlik uzmanlarımızdan biriyle görüşün.
Referanslar
[1] "Microsoft MSHTML Uzaktan Kod Yürütme Güvenlik Açığı". 2021. Microsoft Güvenlik Yanıt Merkezi. https://msrc.microsoft.com/upd...
[2] "Microsoft, aktif olarak istismar edilen MSHTML sıfır gün RCE (CVE-2021-40444) yamaları". 14 Eylül 2021. Help Net Security. https://www.helpnetsecurity.co...
