Blog Arksoft
  • Arksoft Bilisim
  • Scripts
    • SCCM (ConfigMgr)
    • Hyper-V
    • WSUS
    • Exchange Scripts
      • Exchange Virtual Directory Config
      • Virtual Directory Script
      • LogPath Config
      • Queue Database Move
      • Receive Connector Copy
  • HAZİRAN 2025
    • Windows 11'de Quick Machine Recovery: PC Hatalarına Karşı Yeni Nesil Dayanıklılık
    • Exchange Server’da Kota ve Limit Ayarları: Temel Bilgiler ve Kullanım Alanları
  • MAYIS 2025
    • Microsoft’un Mayıs 2025 Güncellemeleri: Sistem Yöneticileri İçin Kapsamlı Özet
  • NİSAN 2025
    • Exchange Server 2019 CU15 Apr25HU
    • Nisan 2025:Microsoft Güvenlik Güncellemeleri
    • Power BI Gateway ile On-Prem Verilerin Gücünü Keşfedin!
    • IT Personelleri Neden Adli Bilişim Farkındalık Eğitimi Almalıdır?
    • ''SCCM 2503'' Sürüm Yükseltme Rehberi
  • Mart 2025
    • SCCM Üzerinden Kritere Göre Uygulama ve Deployment’ları Otomatik Silmek
    • Mart 2025: Microsoft Güvenlik Güncellemeleri
  • ŞUBAT 2025
    • SPN Nedir, Kerberos Nasıl Çalışır ve Duplicate SPN Neden Sorun Yaratır?
    • Şubat 2025: Microsoft'un Güvenlik Güncellemeleriyle Sistemlerinizi Güçlendirin!
    • Exchange Server CU15 Güncellemesi
    • log_reuse_wait_desc Nedir ve Ne Anlatır?
  • OCAK 2025
    • Azure SQL Nedir? Temel Bilgiler ve Avantajlar
    • Live Migration için Ağ Kartı Seçerken Dikkat Edilmesi Gerekenler
    • Protected Attribute Nedir? Nasıl Oluşturulur?
    • Ocak 2025 Microsoft Güvenlik Güncellemeleri: Sistemlerinizi Güvende Tutun!
    • CLIUSR Hesabı Neden Önemlidir? CLIUSR sertifikası nedir, neden süresi doldu uyarısı alıyorum?
  • ARALIK 2024
    • TLS 1.2 Öncesi Protokollerin Güvenlik Açıkları ve TLS 1.2/1.3 Önemi
  • Kasım 2023
    • Microsoft Exchange Server Kasım Ayı Güvenlik Güncellemesi
  • Temmuz 2023
    • Microsoft Office Zero-Day Zafiyeti CVE-2023-36884
  • Mayis 2023
    • Hashing ve Salting Kavramları Nedir? Azure AD Parola Güvenliği Nasıl Sağlanır?
  • Nisan 2023
    • DDOS Saldırıları Nedir ve Korunma Yolları Nelerdir?
    • Fidye Yazılımları Nedir ve Korunma Yöntemleri Nelerdir?
    • Ransomwares And Defence Strategies
    • PowerShell Modülleri: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Fonksiyonları: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Cmdlet'ler: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Değişkenleri: Temel Kavramlar ve Kullanım Örnekleri
    • PowerShell Nedir?
    • Oltalama E-Postalarından Korunma
    • CVE-2023-2033
    • Cloud Computing and Its Advantages
    • Bulut Bilişim Nedir ve Bulut Bilişimin Avantajları Nelerdir?
    • Bilgi ve İletişim Güvenliği Rehberi Nedir ve Rehbere Uyumlu Olmak Neden Önemlidir?
  • Mart 2023
    • Sık Kullanılan Portlar ve Üzerinde Çalışan Protokoller
    • Siber Güvenlik ve İnternet Dünyasında Güvende Kalmanın Yolları
    • Outlook Kullanıcılarına Uyarı: CVE-2023-23397 Güvenlik Açığına Karşı Önlem Alın
  • Şubat 2023
    • Üçüncü Parti Uygulamaların Güncellenmesinin Önemi
  • Aralık 2022
    • Siber Tehdit
    • FRS to DFSR Migration
  • Kasım 2022
    • Domain Controller 2022 Kasım Ayı Bug'ı
  • Mart 2022
    • OWA ve ECP erişim sorunu: Microsoft Exchange Server Auth Certificate is expired
    • MIM 2016 SSPR Türkçe Karakter Problemi
  • Haziran 2021
    • KMS (Key Management Service)
  • Ağustos 2020
    • Microsoft Teams Konuk (Guest) Erişimi ve Dış (External) Erişim- Sizin için hangisi uygun?1
    • SCCM 2006 Güncellemesi
    • Skype For Business 2019 Kurulumu- Hata Kodu 1603 (Server.msi(Feature_Server, Feature_HealthyAgent))
    • Skype for Business 2019 “Centralized Logging” Servisinin Başlatılamaması Problemi ve Çözümü
  • Temmuz 2020
    • Clean Inactive Agents from Operations Manager
  • Haziran 2020
    • Microsoft Teams Katılımcı Raporu İndirme
    • Microsoft Teams Toplantı ve Grup Sohbet Sınırı 300'e çıkarıldı
  • Mayıs 2020
    • MIM 2016 Service and Portal Kurulumundaki Bug
    • Telegram ve Powershell ile Sistem İzleme-Part 1
  • Ekim 2019
    • Windows Server 2019 Active Directory Domain Services Kurulumu
  • Nisan 2019
    • Huawei FusionCompute Kurulumu
  • Mart 2019
    • Password Reveal Düğmesi
  • Ocak 2019
    • ReportServer Veri Tabanı içerisinden RDL Dosyalarının Çıkartılması
  • Temmuz 2018
    • Active Directory Certificate Services - SHA1’ den SHA2’ ye Yükseltme
    • Local Administrator Password Solution
Powered by GitBook
On this page
  1. Temmuz 2023

Microsoft Office Zero-Day Zafiyeti CVE-2023-36884

Berat Furkan Yaztürk

Microsoft, Storm-0978 olarak izlenen saldırgan tarafından yürütülen ve Avrupa ile Kuzey Amerika’ daki devlet kurumlarını hedef alan ve CVE-2023-36884 açığını kullanarak bir kimlik avı saldırısı tespit etti. Bu saldırıların casusluk amacıyla kullanıldığı tespit edildi.

Storm-098 saldırı grubu kimdir: Saldırıyı yapan Storm-0978 diğer bilinen adıyla arka kapılarının adı olan RomCom, Rusya merkezli bir siber suç grubudur. Bu grubun sadece fidye saldırıları yapmasının dışında, istihbarat operasyonlarını desteklemek için kimlik bilgisi toplama saldırıları da gerçekleştirdiği bilinmektedir. Bu grup Mayıs 2022’ de Industrial Spy fidye yazılımıyla da yakından ilişkili olan Underground fidye yazılımını da dağıtan gruptur.

CVE-2023-36884 açığı nasıl istismar edilir: Microsoft Windows ve Office ürünlerini etkileyen bir dizi uzaktan kod çalıştırma güvenlik açığından faydalanmayı sağlayan zafiyettir. Saldırganlar özel olarak hazırladıkları Microsoft Office belgelerini kullanarak RCE (Remote Code Execution- Uzaktan Kod Yürütme) saldırıları yapma olanağı sağlayabilmektedirler. Bu saldırıyı gerçekleştirebilmesi için saldırganın, kurban bilgisayarında bu dosyanın açılmasına ikna etmesi gerekmektedir.

Başarılı bir saldırı, saldırganlara hassas bilgilere erişme yetkisi, sistemlerin korunmasını sağlayan güvenlik önmelmerini devre dışı bırakabilme ve güvenlik ihlali yaşanmış bir sisteme erişimi reddetme yeteneği sağlayarak bilgi güvenliğinin üç temel unsuru olan gizlilik, bütünlük ve erişilebilirliği ortadan kaldırabilmeye olanak sağlamaktadır.

Storm-0978'in hedefindeki ülkeler, başta Ukrayna'daki hükümet ve askeri kuruluşların yanı sıra Avrupa ve Kuzey Amerika'da Ukrayna meseleleriyle ilgili olabilecek kuruluşları da etkilemiştir.

Office 365 için Microsoft Defender kullanan müşteriler, CVE-2023-36884'ten yararlanmaya çalışan eklerden korunmaktadırlar. Buna ek olarak, Microsoft 365 Uygulamaları (2302 ve sonraki sürümler için) kullanan müşteriler, Office aracılığıyla güvenlik açığından yararlanmaya karşı korunmaktadırlar.

Saldırganlar Bu Açıktan Faydalanarak Neler Yaptı:

Bu saldırılarda, Ukrayna Dünya Kongresi örgütünü taklit edilerek, kötü amaçlı belgeler oluşturularak phishing (oltalama) mailleri oluşturulmuş ve bu e-postalar Avrupa ve Kuzey Amerika’ daki savunma ve hükümet kuruluşlarına yönlendirilmiş ve burada casusluk faaliyetleri yapılmıştır.

Saldırılardan Korunmak İçin Uygulanacak Adımlar:

Bu saldırı önlemek adına Microsoft henüz bir güncelleştirme yayınlamamıştır. Bu nedenle aşağıda gösterilen yöntem kullanılarak bu saldırılardan kendinizi ya da kurumunuzu koruyabilirsiniz.

Bu korumalardan yararlanamayan kuruluşlar, istismarı önlemek için FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kayıt defteri anahtarını ayarlayabilir.

Kayıt Defterinde Yapılacak Ayar:

“HKEY_LOCAL_MACHINE --> SOFTWARE --> Policies --> Microsoft --> Internet Explorer --> Main --> FeatureControl --> FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION” kayıt defteri anahtarına “1” verisi ile REG_DWORD türünde değerler olarak eklenmesi gerekmektedir.

· excel.exe

· PowerPoint.exe

· WinWord.exe

· wordpad.exe

· Grafik.exe

· MSAccess.exe

· MSPub.exe

· Visio.exe

· WinProj.exe

NOT: Bu ayarın değiştirilmesi sonucu normal işlevselliğin de etkileyebileceğini unutmayın.

PreviousMicrosoft Exchange Server Kasım Ayı Güvenlik GüncellemesiNextHashing ve Salting Kavramları Nedir? Azure AD Parola Güvenliği Nasıl Sağlanır?

Last updated 1 year ago