MICROSOFT CVE-2022-30190 zafiyeti (KRİTİK)

Windows sistemlerdeki sorunları tespit etmek için kullanılan Microsoft Support Diagnostic Tool (MSDT) özelliğinde bulunan bir güvenlik açığının aktif olarak istismar edildiği ve saldırılarda kullanıldığı tespit edildi.

Bir Word belgesi içerisinde tespit edilen saldırının nasıl tetiklendiğini BURADA YER ALAN ekran kaydından görebilirsiniz. Word belgesinin açılmasının ardından MSDT protokülü kullanılanılarak kod çalıştırılıyor. Buradaki önemli noktalardan bir tanesi alışkın olduğumuzdan farklı olarak zararlı kod macro üzerinden çalışmıyor. Kısacası kullanıcılar dosyayı açtıktan sonra “macroları etkinleştir” gibi bir uyarı çıkmıyor, kod doğrudan çalışıyor.

NE KADAR KÖTÜ?

Zafiyetin istismarı kullanıcı yetkileriyle yapıldığı için, bu zafiyet kullanılarak doğrudan sistem/domain yöneticisi konumuna gelinmesi pek mümkün değil (bunu sağlayacak ayrı bir zafiyet istismar edilmediği takdirde).

Kullanıcılarınız, olması gerektiği gibi, sınırlı yetkilere sahiplerse bu vektör saldırganın kuruluş bünyesinde sıradan kullanıcı yetkilerine ulaşmasını sağlar.

Diğer taraftan, kullanıcının “macroyu etkinleştir” gibi ayrıca bir butona tıklaması gerekmediği için dosya açılır açılmaz sistem üzerinde kod çalışır. Bu da saldırganın işini biraz daha kolaylaştırır.

ÇÖZÜM NEDİR?

Microsoft bununla ilgili henüz bir güncelleme yayımlamadı, ancak bir yazı ile alternatif çözüm önerileri sundular.

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/ adresinde ayrıntılarını okuyabileceğiniz yazıda MSDT URL protokolünün devre dışı bırakılması öneriliyor, bunun için:

  • Komut satırını yönetici olarak çalıştırın
  • “reg export HKEY_CLASSES_ROOT\ms-msdt DOSYA_ADI” komutu ile register değerinin yedeğini alın
  • “reg delete HKEY_CLASSES_ROOT\ms-msdt /f” komutu ile MSDT özelliğini kapatın

 Bunun dışında:

  • Microsoft CVE-2022-30190 zafiyeti için bir yama yayımlayana kadar, kuruluşunuza gelen ve ekinde Office dosyası bulunan e-postalar konusunda kullanıcılara bir uyarı yapmanızda fayda var.
  • Kuruluş genelinde msdt.exe çalıştıran sistemleri olası bir istismar için yakından incelemek iyi olacaktır.

SPARTA BİLİŞİM NE YAPARDI?

Firewall, DLP, SIEM veya e-posta güvenlik çözümünü Sparta Bilişim’den satın almış müşterilerimiz;

  • Dün akşam itibariyle bu zafiyet için tespit ve engelleme kurallarını yüklemiş olacaktı,
  • Bakım(+) destek hizmeti almış müşterilerimiz de ayrıca bu sabah itibariyle Microsoft tarafından önerilen çözümün doğru uygulandığını teyit etmek için testler tamamlanacak ve rapor sunulacaktı,
  • msdt.exe kullanımından şüphelenilen sistemlerde olay müdahale hizmetinden ücretsiz faydalanacaktı,
  • Son kullanıcılara bilgilendirme ve uyarı e-postası gönderilmiş olacaktı.

Bakım(+) destek hizmetimiz ve “Sparta Bilişim Bütüncü Siber Güvenlik Yaklaşımı” hakkında bilgi almak için sparta@sparta.com.tr adresinden bize ulaşabilirsiniz.

Başa dön