Microsoft bugün kötü niyetli ofis belgeleri aracılığıyla uzaktan kod yürütme kazanmak için vahşi doğada kullanılan birden fazla pencere ve ofis ürününde eşleştirilmemiş bir sıfır gün güvenlik hatası açıkladı.
Kimlik doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektiren yüksek karmaşık saldırılarda güvenlik açığından (CVE-2023-36884 olarak izlenir) kullanabilir.
Başarılı sömürü, toplam gizlilik, kullanılabilirlik ve bütünlük kaybına yol açabilir, bu da saldırganların hassas bilgilere erişmesine, sistem korumasını kapatmasına ve tehlikeye atılan sisteme erişimi reddetmesine izin verebilir.
Redmond, "Microsoft, Windows ve Office ürünlerini etkileyen bir dizi uzaktan kod yürütme güvenlik açıklarının raporlarını araştırıyor. Microsoft, özel hazırlanmış Microsoft Office belgelerini kullanarak bu güvenlik açıklarını kullanmaya çalışan hedefli saldırıların farkındadır." Dedi.
"Bir saldırgan, kurban bağlamında uzaktan kod yürütme yapmalarını sağlayan özel hazırlanmış bir Microsoft Office belgesi oluşturabilir. Ancak bir saldırganın kurbanı kötü amaçlı dosyayı açmaya ikna etmesi gerekir."
Kusur henüz ele alınmamış olsa da, Microsoft, müşterilere aylık sürüm süreci veya bant dışı güvenlik güncellemesi aracılığıyla yamalar sağlayacağını söylüyor.
CVE-2023-36884 yamaları mevcut olana kadar Microsoft, ofis için Defender'ı kullanan ve "tüm ofis uygulamalarının çocuk süreçleri oluşturmasını engelleyen" saldırı yüzey azaltma kuralının hatayı kullanmaya çalışan kimlik avı saldırılarına karşı korunduğunu söylüyor.
Bu korumaları kullanmayanlar, HKEY_LOCAL_MACHINE \ Software \ Policyes \ Microsoft \ Internet Explorer \ Main \ featurecontrol \ feature_block_cross_protocol_file_navigation kayıt defteri tuşuna verileri 1:
Bununla birlikte, bu kayıt defteri anahtarının sömürü denemelerini engellemek için ayarlanmasının, yukarıda listelenen uygulamalara bağlı bazı Microsoft Office işlevlerini de etkileyebileceğini belirtmek önemlidir.
Ayrı bir blog yazısında şirket, CVE-2023-36884 hatasının, Vilnius, Litvanya'daki NATO zirvesine katılan organizasyonları hedefleyen son saldırılarda kullanıldığını söylüyor.
Ukrayna'nın Bilgisayar Acil Müdahale Ekibi (CERT-UA) ve BlackBerry'nin istihbarat ekibi ile araştırmacılar tarafından yayınlanan raporlarda belgelendiği gibi, saldırganlar Magicspell Loader ve Romcom Backdoor da dahil olmak üzere kötü amaçlı yazılım yükleri kurmak için Ukrayna Dünya Kongresi organizasyonunu taklit eden kötü niyetli belgeler kullandılar.
BlackBerry Güvenlik Araştırmacıları, "Başarılı bir şekilde kullanılmadıysa, bir saldırganın güvenlik açığından yararlanmak için tasarlanmış kötü niyetli bir .docx veya .rtf belgesinin hazırlanması yoluyla bir uzaktan kod yürütme (RCE) tabanlı saldırı gerçekleştirmesine izin verir." Dedi.
Diyerek şöyle devam etti: "Bu, MSDT'nin savunmasız bir sürümünü yürütmek için özel olarak hazırlanmış belgeden yararlanarak elde edilir ve bu da bir saldırganın yürütme yardımcı programına bir komutu aktarmasına izin verir."
Microsoft, Salı günü yaptığı açıklamada, "Aktörün Haziran 2023'te tespit edilen son kampanyası, ROMCOM ile benzerliklerle bir arka kapı sağlamak için CVE-2023-36884'ün kötüye kullanılmasını içeriyordu." Dedi.
Redmond'a göre Romcom, muhtemelen istihbarat operasyonlarını desteklemeye yönelik kimlik bilgilerini çalmaya odaklanan kampanyaların yanı sıra fidye yazılımı ve gasp saldırılarına katıldığı için bilinen Rus merkezli bir siber suçlu gruptur (fırtına-0978 olarak da izlenir).
Çete daha önce yeraltı [Virustotal] adı verilen fidye yazılımlarına geçen endüstriyel casus fidye yazılımı operasyonuyla bağlantılıydı.
Mayıs 2022'de, bir endüstriyel casus fidye notunda Tox ID ve e -posta adresini araştırırken, MalwareHunterTeam, Küba fidye yazılımı operasyonu ile tuhaf bir ilişkiyi ortaya çıkardı.
Bir endüstriyel casus fidye yazılımı örneğinin, Küba tarafından kullanılan aynı Tox ID ve e -posta adresini içeren bir fidye notu ve Küba'nın veri sızıntı sitesine bağlantılar oluşturduğunu gözlemledi.
Bununla birlikte, kullanıcıları endüstriyel casus veri sızıntı sitesine yönlendirmek yerine, sağlanan bağlantı Küba Fidye yazılımının TOR sitesine yol açtı. Ayrıca, fidye notu aynı dosya adını kullandı, !! Beni okuyun !! TXT, tıpkı daha önce tanımlanmış Küba fidye notları.
300.000+ Fortinet Güvenlik Duvarı Kritik Fortios RCE HATA KORUNLUK
VMware, saldırılarda sömürülen kritik vrealize kusurunu uyarıyor
FBI: BL00DY RANSOMWARE, Kağıtkaz Saldırılarında Eğitim Orgs'ı hedefler
Popüler Ghostscript açık kaynaklı PDF kütüphanesinde bulunan eleştirel RCE
Fortinet, Fortios, Fortiproxy Cihazlardaki Kritik RCE Kusurunu uyarıyor
Kaynak: Bleeping Computer