Bu yılın ilk döneminde Salı yama, Microsoft, saldırganların güvenlik açığı bulunan sistemlerde uzaktan kötü amaçlı kod yürütmesine izin verebilecek kritik önemdeki bir Office güvenlik açığını giderdi.
Güvenlik kusuru, şu şekilde izlendi: CVE-2022-21840, saldırganların kullanıcı etkileşimi gerektiren düşük karmaşıklıklı saldırıların bir parçası olarak hedeflenen cihazlarda hiçbir ayrıcalık olmadan yararlanabileceği bir uzaktan kod yürütme (RCE) hatasıdır.
Microsoft, “Bir e-posta saldırısı senaryosunda, bir saldırgan özel hazırlanmış dosyayı kullanıcıya göndererek ve kullanıcıyı dosyayı açmaya ikna ederek bu güvenlik açığından yararlanabilir” diye açıklıyor.
“Web tabanlı bir saldırı senaryosunda, bir saldırgan, güvenlik açığından yararlanmak için tasarlanmış özel hazırlanmış bir dosya içeren bir web sitesi barındırabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran güvenliği ihlal edilmiş bir web sitesinden yararlanabilir.”
Saldırganların bu kritik güvenlik açığından başarıyla yararlanmak için, anlık ileti veya e-posta yoluyla paylaşılan bir bağlantı kullanılarak özel hazırlanmış bir Office belgesini açmaları için hedeflerini kandırması gerekir.
Neyse ki Microsoft, Outlook önizleme bölmesinin bu güvenlik açığını hedefleyen yararlanma girişimlerinde saldırı vektörü olarak kullanılamayacağını söylüyor.
Ancak, Windows Gezgini önizleme bölmesi aracılığıyla şu şekilde kullanılabilir: onaylanmış CERT/CC güvenlik açığı analisti Will Dormann tarafından.
Bu, potansiyel kurbanları kötü amaçlarla hazırlanmış Office dosyalarını açmaları için kandırmaya gerek kalmadan, bunun yerine yalnızca önizleme bölmesi etkinleştirilmiş bir Explorer penceresinde seçmenin gerekli olduğu anlamına gelir.
macOS yamaları hala “yapım aşamasında”
Redmond, Kurumsal Microsoft 365 Uygulamaları ve Microsoft Office’in Windows sürümleri için güvenlik güncellemeleri yayınlamış olsa da, şirket hala macOS’taki güvenlik açığını gideren yamalar üzerinde çalışıyor.
Mac 2021 için Microsoft Office LTSC ve Mac için Microsoft Office 2019 çalıştıran Mac kullanıcılarına, CVE-2022-21840 yamalarını almak için biraz daha beklemeleri gerektiği söylendi.
Microsoft, “Mac için Microsoft Office 2019 ve Mac için Microsoft Office LTSC 2021 güvenlik güncelleştirmesi hemen kullanıma sunulmamıştır,” Microsoft diyor bugünün güvenlik danışmanlığında.
“Güncellemeler mümkün olan en kısa sürede yayınlanacak ve mevcut olduklarında müşterilere bu CVE bilgisinde bir revizyon yoluyla bilgi verilecektir.”
Microsoft ayrıca aktif olarak sömürülen bir Excel sıfır günü için macOS yamalarını hemen yayınlayamadı Kasım ayında, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda kimliği doğrulanmamış saldırganlardan yerel olarak yararlanmaya izin veren ciddi bir güvenlik özelliği atlama hatası.
CVE bilgisine yapılan güncellemelere göre Redmond, bir hafta sonra Mac için Microsoft Office için güvenlik güncellemeleri yayınladı ve kullanıcılara vahşi saldırılardan korunmak için ürünleri için yamaları dağıtmalarını tavsiye etti.