Microsoft: Office Zero-Day Zafiyeti, NATO Zirvesi Saldırılarında Kullanıldı
Microsoft bugün, birçok Windows ve Office ürününde keşfedilen zero-day güvenlik açığını açıkladı. Bu güvenlik açığı, kötü amaçlı Office belgeleri aracılığıyla uzaktan kod yürütme saldırılarına neden oluyor.
Kimliği doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektirmeden bu güvenlik açığından (CVE-2023-36884) yararlanarak kompleks saldırılar gerçekleştirebiliyor.
Başarılı bir saldırı, saldırganlara hassas bilgilere erişme, sistem korumasını devre dışı bırakma ve güvenlik ihlali yaşanmış bir sisteme erişimi reddetme yeteneği sağlayarak gizlilik, kullanılabilirlik ve bütünlük kaybına yol açabiliyor. Microsoft, henüz bu açığı düzeltmese de müşterilere aylık sürüm süreci veya bant dışı güvenlik güncellemeleri aracılığıyla yamalar sağlayacağını belirtiyor.
Önlem olarak, Microsoft, Office için Defender kullanan müşterilerin ve “Block all Office applications from creating child processes” saldırı yüzeyi azaltma kuralını etkinleştirenlerin, kimlik avı saldırılarına karşı korunduğunu söylüyor.
Bu korumaları kullanmayanlar için, aşağıdaki adımlar uygulanmalı
“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION” kayıt defteri anahtarına veri 1 ile REG_DWORD türünde değerler olarak ekleyebilirsiniz.
excel.exe
- Grafik.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- wordpad.exe
Microsoft, ayrı bir blog gönderisinde, CVE-2023-36884 açığının Litvanya’da gerçekleşen NATO Zirvesi’ne katılan kuruluşlar tarafından hedef alındığını belirtiyor.
Bu saldırılarda, Ukrayna Dünya Kongresi örgütünü taklit eden kötü amaçlı belgeler kullanılarak MagicSpell yükleyici ve RomCom backdoor gibi kötü amaçlı yazılım yükleri yüklendiği belgelendi.
RomCom, Rus merkezli bir siber suç grubu olarak bilinir ve daha önce fidye yazılımları ve gasp saldırılarıyla tanınmıştır. Bu saldırıda, saldırganlar uzaktan kod yürütme saldırısı gerçekleştirmek için özel olarak hazırlanmış belgeleri kullanmışlardır.
Microsoft, bu konuda henüz bir düzeltme yayınlamamış olsa da kullanıcıları korumaları konusunda uyarıyor ve yamalar yayınlandığında hızlı bir şekilde güncelleme yapmalarını öneriyor.
Kaynak: bleepingcomputer.com