Araştırmacılar Microsoft ürünlerinde potansiyel olarak saldırganın rastgele kod yürütmesine imkan veren ciddi bir güvenlik açığı daha keşfetti. MITRE’nin CVE-2022-30190 olarak tanımladığı bu güvenlik açığına araştırmacılar daha şairane bir yaklaşımla Follina adını verdi. İşin en rahatsız edici kısmı, henüz bu hata için bir çözüm olmaması. Daha da kötüsü, güvenlik açığı halihazırda siber suçlular tarafından aktif olarak kötüye kullanılıyor. Güncelleme yolda olsa da tüm Windows kullanıcılarına ve yöneticilerine şimdilik geçici çözümler kullanmaları öneriliyor.
CVE-2022-30190 nedir, hangi ürünleri etkiler?
CVE-2022-30190 güvenlik açığı, kulağa pek önemliymiş gibi gelmeyen Microsoft Windows Destek Tanı Aracı’nda (MSTD) yer alıyor. Ne yazık ki bu aracın uygulanmasına bağlı olarak güvenlik açığı kötü amaçlı bir MS Office dosyası aracılığıyla kötüye kullanılabiliyor.
MSDT, Windows’ta bir şeyler yanlış gittiğinde otomatik olarak tanı bilgisi toplayıp Microsoft’a göndermek için kullanılan bir uygulama. Bu araç diğer uygulamalar tarafından özel MSDT URL protokolüyle çağrılabiliyor (en popüler örnek Microsoft Word). Güvenlik açığı başarılı şekilde kötüye kullanılırsa saldırgan, MSDT’yi çağıran uygulamanın ayrıcalıklarıyla, yani bu durumda kötü amaçlı dosyayı açan kullanıcının haklarıyla rastgele kod yürütebiliyor.
CVE-2022-30190 güvenlik açığı hem masaüstleri hem de sunucular dahil Windows ailesindeki tüm işletim sistemlerinde kötüye kullanılabiliyor.
Saldırganlar CVE-2022-30190’ı nasıl kötüye kullanıyor?
Güvenlik açığını keşfeden araştırmacılar, saldırı örneği olarak şu senaryoyu anlatıyor: Saldırganlar kötü amaçlı bir MS Office belgesi yaratım bunu bir şekilde kurbana ulaştırıyorlar. Bunu yapmanın en yaygın yolu, alıcıyı dosyayı açmaya ikna edecek şekilde tasarlanmış klasik bir sosyal mühendislik e-postasına kötü amaçlı dosyayı eklemek. “Acilen yarın imzalanacak sözleşmeyi kontrol et,” gibi bir şey iş görüyor.
Virüslü dosya, komut satırındaki kötü amaçlı kodu MSDT aracılığıyla yürüten JavaScript kodunu içeren bir HTML dosyasına bağlantı içeriyor. Kötüye kullanımın başarılı olması durumunda saldırganlar program yükleyebiliyor, verileri görüntüleyebiliyor, değiştirebiliyor ya da yok edebiliyor ve yeni hesaplar oluşturabiliyor; kısacası kurbanın sistemdeki ayrıcalıklarıyla yapabildiği her şeyi yapabiliyorlar.
Kendinizi korumanın yolları
Yukarıda da dediğimiz gibi, henüz bir yama yok. Microsoft bu sırada MSDT URL protokolünü devre dışı bırakmayı öneriyor. Bunu yapmak için yönetici haklarına sahip bir komut istemi çalıştırarak reg delete HKEY_CLASSES_ROOT\ms-msdt /f
komutunu yürütmeniz gerekiyor. Bunu yapmadan önce reg export HKEY_CLASSES_ROOT\ms-msdt filename
komutunu yürüterek kaydı yedeklemek iyi bir fikir. Bu sayede geçici çözüme ihtiyaç kalmadığında reg import filename
komutunu yürüterek kaydı hemen geri yükleyebilirsiniz.
Elbette bu yalnızca geçici bir önlem; Follina güvenlik açığını kapatan bir güncelleme çıkar çıkmaz bunu yüklemelisiniz.
Bu güvenlik açığını kötüye kullanma yöntemleri, tarif edildiği üzere kötü amaçlı ekleri ve sosyal mühendislik metodlarını kullanan e-postaları içeriyor. Dolayısıyla bilinmeyen göndericilerden gelen e-postalara karşı normalden de daha dikkatli olmanızı öneriyoruz. Şirketler için en mantıklısı, düzenli olarak en güncel hacker hileleri hakkında Kaspersky Automated Security Awareness Platform.
Ayrıca internet erişimine sahip tüm cihazlar dayanıklı güvenlik çözümleriyle donatılmalı. Bu tür çözümler, henüz bilinmeyen bir güvenlik açığının kötüye kullanılması durumunda bile kötü amaçlı kodun kullanıcı cihazında yürütülmesini önleyebilir.