Dikkat: Uzmanlar, Sıfır Tıklama Outlook RCE İstismarlarıyla İlgili Yeni Ayrıntıları Açıkladı

Microsoft Windows'ta, herhangi bir kullanıcı etkileşimi olmadan Outlook e-posta hizmetinde uzaktan kod yürütülmesini sağlamak için tehdit aktörleri tarafından zincirlenebilecek, şimdi yamalanmış iki güvenlik açığı hakkında teknik ayrıntılar ortaya çıktı.

Güvenlik açıklarını keşfeden Akamai güvenlik araştırmacısı Ben Barnea, paylaşılan iki bölümlük bir raporda, "İnternetteki bir saldırgan, Outlook istemcilerine karşı tam, sıfır tıklamayla uzaktan kod yürütme (RCE) istismarı oluşturmak için güvenlik açıklarını bir araya getirebilir" dedi.

Microsoft tarafından sırasıyla Ağustos ve Ekim 2023'te ele alınan güvenlik sorunları aşağıda listelenmiştir:

CVE-2023-35384 (CVSS puanı: 5.4) - Windows HTML Platformları Güvenlik Özelliği Atlama Güvenlik Açığı
CVE-2023-36710 (CVSS puanı: 7,8) - Windows Media Foundation Core Uzaktan Kod Yürütme Güvenlik Açığı

CVE-2023-35384, Akamai tarafından Microsoft'un Mart 2023'te yamaladığı kritik bir güvenlik açığının baypas edilmesi olarak tanımlandı. CVE-2023-23397 (CVSS puanı: 9.8) olarak izlenen kusur, NTLM kimlik bilgilerinin çalınmasına neden olabilecek ve bir saldırganın geçiş saldırısı gerçekleştirmesine olanak verebilecek bir ayrıcalık yükseltme durumuyla ilgilidir.

Bu ayın başlarında, Microsoft, Proofpoint ve Palo Alto Networks Unit 42, APT28 (diğer adıyla Forest Blizzard) olarak bilinen bir Rus tehdit aktörünün, kurbanların Exchange sunucularındaki hesaplarına yetkisiz erişim elde etmek için hatayı aktif olarak silahlandırdığını ortaya çıkardı.

CVE-2023-35384'ün, yine Barnea tarafından keşfedilen ve ardından Mayıs 2023 güvenlik güncellemelerinin bir parçası olarak Redmond tarafından düzeltilen CVE-2023-29324'ten sonraki ikinci yama atlaması olduğunu belirtmekte fayda var.

Barnea, "Orijinal Outlook güvenlik açığına başka bir baypas bulduk - bir kez daha istemciyi saldırgan tarafından kontrol edilen bir sunucuya bağlanmaya ve kötü amaçlı bir ses dosyası indirmeye zorlamamıza izin veren bir baypas" dedi.

CVE-2023-29324 gibi CVE-2023-35384, kötü amaçlı bir dosya veya URL içeren bir e-postayı bir Outlook istemcisine göndererek yararlanılabilecek MapUrlToZone işlevi tarafından bir yolun ayrıştırılmasından kaynaklanır.

"MSHTML platformu belirli URL'ler için isteklerin doğru Güvenlik Bölgesini doğrulayamadığında bir güvenlik özelliği atlama güvenlik açığı var. Bu, bir saldırganın bir kullanıcının amaçlanandan daha az kısıtlı bir İnternet Güvenlik Bölgesi'ndeki bir URL'ye erişmesine neden olabilir" dedi.

Bunu yaparken, güvenlik açığı yalnızca NTLM kimlik bilgilerini sızdırmak için kullanılamaz, aynı zamanda Outlook'un hatırlatıcı ses özelliği kullanılarak otomatik olarak oynatıldığında kurbanın makinesinde sıfır tıklama kod yürütülmesine yol açabilecek özel bir ses dosyası indirmek için ses ayrıştırma kusuruyla (CVE-2023-36710) zincirlenebilir.

CVE-2023-36710, ses codec'lerini yönetmek için kullanılan eski bir Windows multimedya çerçevesi olan Ses Sıkıştırma Yöneticisi (ACM) bileşenini etkiler ve bir WAV dosyası oynatılırken oluşan bir tamsayı taşması güvenlik açığının sonucudur.

Barnea, "Sonunda, IMA ADP codec bileşenini kullanarak güvenlik açığını tetiklemeyi başardık" dedi. "Dosya boyutu yaklaşık 1,8 GB'dir. Hesaplama üzerinde matematik limiti işlemini gerçekleştirerek, IMA ADP codec bileşeni ile mümkün olan en küçük dosya boyutunun 1 GB olduğu sonucuna varabiliriz."

Riskleri azaltmak için kuruluşların uzak genel IP adreslerine giden SMB bağlantılarını engellemek için mikro segmentasyon kullanması önerilir. Ayrıca, NTLM'nin devre dışı bırakılması veya NTLM'nin kimlik doğrulama mekanizması olarak kullanılmasını engelleyen Korumalı Kullanıcılar güvenlik grubuna kullanıcı eklenmesi de önerilir.