Yeni ortaya çıkan bir Microsoft Word güvenlik açığı, bilgisayar korsanlarının bilgisayarınızı ele geçirmesine neden olabilir. Virüs bulaşmış bir dosyayı açmasanız bile, güvenlik açığı sizi de etkileyebilir.
Düzeltme beklememize rağmen, Microsoft bu güvenlik açığı için daha önce bir çözüm sağladı. MS Office’i düzenli olarak kullanıyorsanız kontrol etmenizde fayda var.
Microsoft Word güvenlik açığı nedir?
Bir araştırmacı Follina olarak adlandırılan Microsoft Word güvenlik açığı – aynı zamanda uzun bir gönderiyi yayınlayan Kevin Beaumont – şimdiye kadar MSDT aracından kaynaklandığını saptadı. İlk olarak 27 Mayıs’ta nao_sec’ten bir tweet ile keşfedildi, ancak Microsoft görünüşe göre ilk olarak Nisan ayında öğrendi. Microsoft’un çözümü, henüz bir düzeltme yayımlanmamakla birlikte, Microsoft Destek Tanılama Aracı’nı (MSDT) kapatmayı gerektirir; bu nedenle, çözüm sadece saldırıya uğrayan bilgisayarlar için geçerli.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Microsoft Word güvenlik açığı, MS Word’de öncelikle .rtf dosyalarını etkileyen bir uzaktan kod yürütme hatası. MS Word’ün Şablonlar özelliği, Follina’nın bilgisayara erişim sağlamak için kullandığı ve ardından MSDT’yi açan bir dizi komutu çalıştıran harici kaynaklardan kod yüklemesine ve yürütmesine olanak tanır. Normal koşullar altında, Windows kullanıcıları çeşitli sorunları çözmek için Microsoft Tanı Aracı’nı (MSDT) kullanabilir. Ne yazık ki, bu araç aynı zamanda bilgisayarınıza uzaktan erişim sağladığından, bilgisayar korsanlarının ele geçirmesine neden olur.
.rtf dosyaları söz konusu olduğunda, saldırı, dosyayı açmasanız bile gerçekleşebilir. Follina, Dosya Gezgini’nde görüntülediğiniz sürece başlatılabilir. Saldırgan, MSDT aracılığıyla bilgisayarınızı ele geçirdiğinde, onunla istediklerini yapmak için sınırsız yetkiye sahip olur. Zararlı yazılımlar indirebilir, hassas verileri sızdırabilir ve daha fazlasını yapabilir.
Beaumont, geçmişte çeşitli dosyalarda nasıl kullanıldığı ve keşfedildiği dahil olmak üzere birkaç Follina örneğini paylaştı. Mali şantaj, bu saldırının kullanıldığı birçok örnekten sadece biri. Elbette bunu istemezsiniz.
Microsoft bir yama yayınlayana kadar ne yapılması gerekir?
Şirket bunu düzeltmek için bir yama yayınlayana kadar yapabileceğiniz birkaç şey var. Şu anki haliyle resmi çözüm, geçici çözümdür; daha sonra ne geleceğini kesin olarak bilmiyoruz.
İlk olarak, Office sürümünüzün Microsoft Word güvenlik açığından etkilenenlerden biri olup olmadığını kontrol edin. Hata şimdiye kadar Office 2013, 2016, 2019, 2021, Office ProPlus ve Office 365’te görüldü. Microsoft Office’in eski sürümlerinin korunup korunmadığı bilinmiyor; bu nedenle, kendinizi korumak için daha fazla önlem almanız gerekir.
Kullanmaktan kaçınmak kötü bir fikir değil. Google Dokümanlar gibi bulut tabanlı hizmetlere geçmeyi düşünebilirsiniz. Yalnızca yüzde 100 tanımlanmış kaynaklardan gelen dosyaları kabul edin ve indirin – bu genel olarak iyi bir öneri. Bu arada Microsoft Office 2021 hakkında bilmeniz gereken her şeyi yazımızı ziyaret ederek öğrenebilirsiniz.
Son olarak, Microsoft’un MSDT’yi devre dışı bırakma konusundaki talimatlarını takip edebilirsiniz. Komut İstemi’ni açmanız ve yönetici olarak çalıştırmanız ve ardından birkaç ifade yazmanız gerekecek. Her şey yolunda giderse, Follina’dan korunmuş olacaksınız. Ancak, dikkatli olunması her zaman tavsiye edilir.
MSDT URL protokolünü devre dışı bırakmak, sorun gidericilerin, işletim sistemi genelindeki bağlantıları içeren bağlantılar olarak başlatılmasını önler. Sorun gidericilere, Yardım Al uygulaması kullanılarak veya ek sorun gidericiler olarak sistem ayarlarından erişilebilir. Devre dışı bırakmak için şu adımları izleyin:
- Kayıt defteri anahtarını yedeklemek için “reg export HKEY_CLASSES_ROOT\ms-msdt filename” komutunu çalıştırın.
- “reg delete HKEY_CLASSES_ROOTms-msdt /f” komutunu çalıştırın.
Geçici çözüm nasıl geri alınır
Yönetici olarak Komut İstemi‘ni çalıştırın
- Kayıt defteri anahtarını geri yüklemek için “reg import filename” komutunu çalıştırın.
Microsoft, siber saldırıların tek kurbanı değil. Ukrayna’daki siber savaş tüm zamanların en yüksek DDoS saldırılarına neden oluyor.
