Microsoft, 7 Eylül 2021'de Windows 10'da bir uzaktan kod çalıştırma (RCE) güvenlik açığı meydana geldiğini doğruladı. CVE-2021-40444 [1] olarak sınıflandırılan güvenlik açığı, siber suçluların güvenliği ihlal edilmiş bir sistemin uzaktan kontrolünü ele geçirmesine ve vahşi ortamda sıfırıncı gün saldırıları oluşturmasına olanak sağlayabilir.
Kusur, Internet Explorer'daki bir tarayıcı oluşturma motoru olan MSHTML'de yatmaktadır. motoru Microsoft Office belgelerinde de kullanılmaktadır. CVE-2021-40444'ün şu anda yaygın olarak istismar edilen bir tehdit emülasyon çerçevesi olan Cobalt Strike yüklerini dağıtmak için kullanıldığı bilinmektedir.
EXPMON'daki bir araştırmacı bu sıfırıncı günü ilk kez bir tweet'te tespit etti ve "Office kullanıcıları Office dosyaları konusunda son derece dikkatli olsunlar" dedi. Araştırmacılar olayı 5 Eylül Pazar günü Microsoft'a bildirdiler. Microsoft da kısa bir süre sonra bir Güvenlik Danışmanlığı yayınlayarak şirket araştırmalarını sürdürürken geçici çözümler önerdi. 14 Eylül'de Microsoft güvenlik açığını düzeltti [2].
Saldırganlar CVE-2021-40444'ü Nasıl İstismar Ediyor?
Siber suçlular bir Microsoft Office belgesinin (.docx) içinde kötü amaçlı bir ActiveX kontrolü oluşturabilir. Bu belge, MSTHML tarayıcı oluşturma motoru ve oluşturulan bir web sayfasına yönlendiren bir OLEObject için ana bilgisayar görevi görür.
Saldırganın daha sonra bu belgeyi açması için hedefini kandırması gerekecektir. Açıldıktan sonra, MSTHML motoru ActiveX kontrolünü kullanarak gizlenmiş komut dosyaları içeren bir HTML dosyasını çalıştıracak ve ardından kötü amaçlı yazılım yüklerinin veya uzaktan erişim kontrollerinin indirilmesini sağlayacaktır.
Microsoft, yönetici haklarına sahip kullanıcıların, sahip olmayan veya daha az kullanıcı hakkına sahip olanlara göre bu tür saldırılara karşı daha hassas olduğunu belirtti.
Hafifletme ve Geçici Çözüm
Microsoft, Internet Explorer'daki tüm ActiveX kontrol kurulumlarının devre dışı bırakılmasının mevcut saldırıları azaltmaya yardımcı olabileceğini tavsiye etti. Bu, Yerel Grup İlkesi Düzenleyicisi kullanılarak kayıt defterinin güncellenmesi yoluyla Grup İlkesi yapılandırılarak yapılabilir.Devre dışı bırakıldıktan sonra yeni ActiveX kontrolleri yüklenmeyecek ve önceki ActiveX kontrolleri çalışmaya devam edecektir.
How Deep CDR™ Technology Can Protect Against Zero-Day Attacks
Content Disarm and Reconstruction (CDR) can aid in mitigating the risks associated with this vulnerability. Deep CDR™ Technology assumes all files are malicious, then sanitizes and rebuilds the file components to ensure full usability with safe content. The technology can effectively ‘disarms’ all file-based threats, complex and sandbox-aware threats, and threats equipped with malware evasion technology such as fully undetectable malware or obfuscation.
In this case, the Deep CDR™ Technology removes all potential threat objects like the OLEObject and ActiveX from the document file. After sanitization, the document no longer contains the malicious HTML link.
MetaDefender Cloud tarafından algılanan tehditler tarandı ve sonuçlar sterilizasyon eylemlerini destekliyor:
Temizleme işleminden sonra, sonuçlar OLEObject'in kaldırıldığını ve dosyanın açılmasının güvenli olduğunu gösterir:
About Deep CDR™ Technology
Deep CDR™ Technology is a market leader with superior features like multi-level archive processing, the accuracy of file regeneration, and support for 100+ file types. Our technology provides in-depth views of what is being sanitized and how data are sanitized, allowing you to make informed choices and define configurations to meet your use cases. The result? Safe files with 100% of threats eliminated within milliseconds, so your workflow is not interrupted.
To learn more about Deep CDR™ Technology and how OPSWAT can protect your organization, talk to one of our critical infrastructure cybersecurity experts.
Referanslar
[1] "Microsoft MSHTML Uzaktan Kod Yürütme Güvenlik Açığı". 2021. Microsoft Güvenlik Yanıt Merkezi. https://msrc.microsoft.com/upd...
[2] "Microsoft, aktif olarak istismar edilen MSHTML sıfır gün RCE (CVE-2021-40444) yamaları". 14 Eylül 2021. Help Net Security. https://www.helpnetsecurity.co...
