Saldırganlar, sistemlere kötü amaçlı yazılım bulaştırmak için ActiveX yazılımından yararlanıyor.
Microsoft, bilgisayar korsanlarının aktif olarak yararlandığı bir uzaktan kod yürütme (RCE) güvenlik açığı hakkında bazı raporlar aldı. Kötü amaçlı yazılımlar, MSHTML tarayıcı işleme motorunu kullanarak bir ActiveX denetimi açan ve kötü amaçlar için hazırlanmış Microsoft Office dosyalarını kullanıyor.
CVE-2021-40444 kod adıyla kayıtlara geçen güvenlik açığından Windows Server 2008, Windows Server 2019 Windows 7 ve 10 işletim sistemleri etkileniyor. Sıfır gün (Zero-day) açığını bildiren Expmon, saldırı yönteminin %100 güvenilir olarak göründüğünü ve bunun onu çok tehlikeli hale getirdiğini söylüyor.
Bir kullanıcı belgeyi açtığında, uzak bir kaynaktan kötü amaçlı yazılım sisteme yükleniyor. Expmon, kullanıcıların tamamen güvenilir bir kaynaktan gelmedikçe hiçbir Office belgesini açmamaları gerektiğinin altını çiziyor.
Güvenlik şirketinin keşfettiği dosya “.docx” uzantılı bir Word belgesiydi. Ancak Microsoft, istismarın Word dosyalarıyla sınırlı olmadığını söylüyor ve MSHTML’yi çağırabilen herhangi bir belge potansiyel olarak zararlı olabilir. Microsoft’un güvenlik açığı için henüz bir düzeltmesi yok, ancak hata raporunda açığın etkisini azaltabilecek bazı yöntemler listeleniyor.
Office belgelerini açarken dosya kaynağı açısından dikkatli olmak gerekiyor. Bunun yanı sıra Microsoft Office’i varsayılan yapılandırmasında çalıştırmak, dosyaları Korumalı Görünüm modunda açıyor ve bu da riski azaltıyor.
Ek olarak, Microsoft Defender Antivirus ve Defender for Endpoint, güvenlik açığının yürütülmesini engelleyebiliyor. Microsoft ayrıca kullanıcıların Internet Explorer’da tüm ActiveX denetimlerinin kurulumunu devre dışı bırakabileceğini söylüyor.
