Eğer sizde Windows güncellemelerini yüklemeyenlerdenseniz haberimiz sizler için! Tehlike Kapınızda.
Büyük Güvenlik firması Trend Micro’nun açıklamasına göre göre Windows Object Linking Embedding (OLE) ara yüzündeki bir güvenlik açığı mevcut. Microsoft PowerPoint aracılığı ile kötü amaçlı yazılım yüklemek için saldırganlar tarafından kullanılmış durumda. Güvenlik firması Trend Micro‘nun yeni raporuna göre bu ara yüz açığından genellikle Zengin Metin Belgesi (RTF) dosyalarının kullanımı ile faydalanmaktaydılar. Ancak yeni keşfedilen bir açık, PowerPoint slayt dosyalarının da Saldırganlar tarafından kullanıldığını ortaya koymakta.
Saldırganların genellikle kullanmış olduğu teknik olan oltalama “phishing” e-postası ile başlıyor. Mesaj karşı tarafın ilgisini çekebilecek türden içerikler ile hazırlanmakta ve içerdiği linkte tıklanması ile makinaya ilgili dosya transfer edilmekte.
Tehlike Kapımızda!! Microsoft PowerPoint ile Gelen Zaafiyet
Gelen Mail içeriğine biraz dikkatle bakıp incelendiğinde bu ek belgenin PPSX dosyası olduğu gözükmekte. Bu dosya bir slayt gösterisinin yalnızca okunabilir ancak değiştirilemez bir kopyası olduğu anlaşılmakta. Ancak gelen bu dosya CVE-2017-0199 açığını kullanarak saldırgan kurbanın bilgisayarını ele geçiriyor. Bu işlem sonrasında ise masum gibi duran PowerPoint animasyonları ile çalışan ancak içeriğinde kötü amaçlı bir kod içermekte ve sonrasında bu kod çalıştırılıyor ardından “logo.doc” adlı bir dosya kurbanın bilgisayarına indiriliyor.
Bu dosya gerçekte bir JavaScript kodunu içeren bir XML dosyası ve “RATMAN.exe” adlı yeni bir programı kurbanın bilgiayarına indirmek için bir PowerShell komutunu çalıştırmakta. Bu program da Remcos adlı bir uzaktan erişim aracının trojan haline gelmiş bir sürümü olarak tanımlanıyor. Daha sonra da Komut ve Kontrol sunucusu ile bu bilgisayara bağlantı kuruluyor.
Remcos ise basılan tüm tuş hareketlerini kaydedebiliyor, ekran görüntüsü alabiliyor, video ile ses kaydı yapabiliyor ve hatta dahada ötesi farklı kötü amaçlı yazılım da indirebiliyor. Bununlada kalmayan saldırgan ele geçirdiği bilgisayara tam erişim de sağlayabiliyor.
Microsoft firması bu açığı bir süre önce kapatmak için yama yayınlamıştı. Bu yüzden de tehlikenin geçmiş olduğu izlenimi yayılabilir ancak unutmamakta fayda varki günümüde hala Windows update yapmayançok fazla kullanıcı bulunmakta.
Microsoft PowerPoint ile Gelen Zaafiyet ve benzeri diğer saldırılardan korunmanın en etkili yolu, Kullandığınız işletim sisteminin üzerinde çalışan uygulamaların sık sık güncelleme veya yayınlanan Patch’leri takip etmekte fayda olduğunu hatırlatmak isterim bir kere daha.