Güvenlik Araştırmacısı, Makro Yürütme Gerektirmeyen Ofis Güvenlik Açığını Açıklıyor

Haberler
Güvenlik / Güvenlik Araştırmacısı, Makro Yürütme Gerektirmeyen Ofis Güvenlik Açığını Açıklıyor 2 dakika okundu

PB Tech



Malwarebytes ile çalışan üst düzey bir güvenlik araştırmacısı olan Jerome Segura, makro gerektirmeyen bir saldırı vektörü kullanarak Microsoft Office'teki güvenlik korumalarını aşmanın bir yolunu buldu. Bu, diğer araştırmacıların son zamanlarda Access veritabanlarını kötüye kullanmak için makro kısayollarını kullanmak için yöntemler bulmasının hemen ardından geldi.

Saldırganlar, bir Office belgesine bir ayar dosyası yerleştirerek, kullanıcıların daha fazla bildirimde bulunmadan tehlikeli kod çalıştırmasını sağlamak için sosyal mühendisliği kullanabilir. Teknik işe yaradığında, Windows herhangi bir hata mesajı vermez. Şifreli olanlar bile atlanabilir, bu da her şeyin olduğu gerçeğini gizlemeye yardımcı olur.



Windows 10'a özgü bir dosya biçimi, Denetim Masası'ndaki uygulamaların kısayollarını oluşturabilen XML kodunu içerir. Bu biçim, .SettingContent.ms, Windows'un önceki sürümlerinde mevcut değildi. Sonuç olarak, araştırmacıların bildiği kadarıyla bu istismara açık olmamalıdırlar.



Wine uygulama uyumluluk katmanını kullanarak Office'i kuranlar, GNU / Linux veya macOS kullanıyor olsalar da sorun yaşamamalıdır. Bununla birlikte, bu dosyanın tuttuğu XML öğelerinden biri, çıplak metal üzerinde çalışan Windows 10 makinelerinde hasara yol açabilir.



DeepLink, öğenin bilindiği gibi, kendilerinden sonra anahtarlar ve parametreler olsa bile ikili yürütülebilir paketlerin yürütülmesine izin verir. Bir saldırgan, PowerShell'i çağırabilir ve ardından keyfi kod yürütmeye başlayabilmeleri için ardından bir şey ekleyebilir. Tercih ederlerse, orijinal eski komut yorumlayıcısını bile çağırabilir ve Windows komut satırının kodlayıcıların NT çekirdeğinin en eski sürümlerinden beri sağladığı ortamı kullanabilirler.

Sonuç olarak, yaratıcı bir saldırgan, meşru görünen ve insanların üzerindeki bir bağlantıyı tıklatmalarını sağlamak için başka biriymiş gibi görünen bir belge oluşturabilir. Bu, örneğin, bir kurbanın makinesine kripto madencilik uygulamalarını indirmek için kullanılabilir.

Ayrıca büyük bir spam kampanyası aracılığıyla bir dosya göndermek isteyebilirler. Segura, bunun klasik sosyal mühendislik saldırılarının yakında modası geçmemesini sağlaması gerektiğini öne sürdü. Böyle bir dosyanın, birkaçının kod yürütülmesine izin vermesini sağlamak için sayısız kullanıcıya dağıtılması gerekse de, bu, onu başka bir şey gibi gizleyerek mümkün olmalıdır.