{"id":94580,"date":"2018-11-19T01:51:37","date_gmt":"2018-11-19T09:51:37","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=94580"},"modified":"2018-11-19T01:51:37","modified_gmt":"2018-11-19T09:51:37","slug":"tehdit-ozeti-office-belgeleri-tehlikeli-olabilir-ancak-yine-de-onlari-kullanmaya-devam-ederiz","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/11\/tehdit-ozeti-office-belgeleri-tehlikeli-olabilir-ancak-yine-de-onlari-kullanmaya-devam-ederiz\/?lang=tr","title":{"rendered":"TEHDIT \u00d6ZETI: OFFICE BELGELERI TEHLIKELI OLABILIR (Ancak Yine de Onlar\u0131 Kullanmaya Devam Ederiz)"},"content":{"rendered":"

Neredeyse hepimiz Microsoft Office belgeleri kullan\u0131yoruz. \u0130ster i\u015f belgeleri olsun, ister elektronik faturalar veya yeni bir evin kira kontrat\u0131 olsun, Office belgeleri hepimiz i\u00e7in kullan\u0131\u015fl\u0131d\u0131r ve e-posta eklentisi olarak ald\u0131\u011f\u0131m\u0131z bir Office belgesini a\u00e7mam\u0131z\u0131n nedenlerinden biri de budur. Pek \u00e7ok ki\u015finin, g\u00fcvenilir olmayan bir kaynaktan gelmese bile hemen hemen her belgeyi a\u00e7aca\u011f\u0131n\u0131 bilen ki\u015filer, bir sistemin g\u00fcvenli\u011fini ihlal etmek i\u00e7in sald\u0131r\u0131lar\u0131nda genelde bu dosyalar\u0131 se\u00e7er.<\/p>\n

Bu tehdit \u00f6zetinde size, Office belgelerinin bir Windows u\u00e7 noktas\u0131na sald\u0131rma ve tehlikeye sokma amac\u0131yla bozulup k\u00f6t\u00fcye kullan\u0131lmas\u0131n\u0131n be\u015f yolunu g\u00f6sterece\u011fiz. Bunlar\u0131n baz\u0131lar\u0131n\u0131 daha \u00f6nce anlatm\u0131\u015ft\u0131k, baz\u0131lar\u0131 ise yeni.<\/p>\n

 <\/p>\n

Makrolar<\/strong><\/p>\n

Makrolar bir sald\u0131rgan\u0131n Office belgelerini silaha d\u00f6n\u00fc\u015ft\u00fcrmesinin en basit yoludur. Office uygulamalar\u0131, VBA (Visual Basic for Applications) komut dosyalar\u0131n\u0131 \u00e7al\u0131\u015ft\u0131ran yerle\u015fik komut dosyas\u0131\u00a0 altyap\u0131s\u0131na sahiptir. Bu komut dosyalar\u0131 belge a\u00e7\u0131l\u0131r\u00a0 a\u00e7\u0131lmaz, herhangi bir kullan\u0131c\u0131 etkile\u015fimi olmaks\u0131z\u0131n y\u00fcr\u00fct\u00fcl\u00fcr (kullan\u0131c\u0131n\u0131n \u00f6nceden makrolar\u0131 etkinle\u015ftirdi\u011fi varsay\u0131l\u0131r) ve sistemde k\u00f6t\u00fc ama\u00e7l\u0131 kod \u00e7al\u0131\u015ft\u0131r\u0131r. Kullan\u0131c\u0131 makrolar\u0131 etkinle\u015ftirmemi\u015fse, bunlar\u0131 etkinle\u015ftirmesini isteyen bir a\u00e7\u0131l\u0131r pencere g\u00f6r\u00fcn\u00fcr. A\u00e7\u0131l\u0131r pencere, makrolar\u0131n ortaya \u00e7\u0131kard\u0131\u011f\u0131 g\u00fcvenlik riskini azaltmak i\u00e7in Microsoft taraf\u0131ndan eklenen bir\u00e7ok g\u00fcvenlik mekanizmas\u0131ndan biridir. Microsoft ayr\u0131ca farkl\u0131 bir dosya uzant\u0131s\u0131n\u0131 da zorunlu k\u0131lar (makrolar i\u00e7eren yeni dosyalar i\u00e7in .docx yerine .docm). Bu \u00f6nlemlere ra\u011fmen kullan\u0131c\u0131lar yine de bu dosyalar\u0131 a\u00e7\u0131p i\u00e7eriklerini etkinle\u015ftirmeyi tercih etti\u011fi i\u00e7in, bu Sofacy kampanyas\u0131<\/a><\/u> gibi karma\u015f\u0131k sald\u0131r\u0131larda oldu\u011fu kadar Emotet<\/a><\/u> gibi fidye yaz\u0131l\u0131mlar\u0131n\u0131 bula\u015ft\u0131rmak i\u00e7in de, gerek kapsaml\u0131 gerekse basit sald\u0131r\u0131larda makrolar s\u0131k\u00e7a ba\u015fvurulan bir sald\u0131r\u0131 vekt\u00f6r\u00fc olmaya devam ediyor.<\/p>\n

\"\"<\/span><\/div><\/p>\n

\u015eekil 1. Sofacy belgesinin i\u00e7erik etkinle\u015ftirilmeden \u00f6nceki ve i\u00e7erik etkinle\u015ftirildikten sonraki hali.<\/p>\n

Bu \u00f6rnekte de g\u00f6rd\u00fc\u011f\u00fcn\u00fcz gibi, sald\u0131rganlar sosyal m\u00fchendislik yoluyla, belgenin tamam\u0131n\u0131 g\u00f6rebilmeleri i\u00e7in i\u00e7eri\u011fi etkinle\u015ftirmeleri gerekti\u011fine inand\u0131rarak, kullan\u0131c\u0131lar\u0131n Microsoft taraf\u0131ndan eklenmi\u015f g\u00fcvenlik mekanizmalar\u0131n\u0131 devre d\u0131\u015f\u0131 b\u0131rakmaya ikna etmeye \u00e7al\u0131\u015f\u0131yor. Sofacy \u00f6rne\u011finde, sald\u0131rganlar yaz\u0131 rengini beyaz yapm\u0131\u015ft\u0131r ve b\u00f6ylece, kullan\u0131c\u0131 makrolar\u0131 etkinle\u015ftirilmeden \u00f6nce sunulmu\u015f metin a\u00e7\u0131k bir bi\u00e7imde g\u00f6r\u00fcnmemektedir.<\/p>\n

 <\/p>\n

Ekli Flash dosyalar\u0131<\/strong><\/p>\n

Office belgelerine makrolar gibi yerle\u015fik \u00f6zelliklere ilave olarak Adobe Flash dosyalar\u0131 gibi harici nesneler de eklenebilir. Bu nesneler i\u015flenmek \u00fczere uygun yaz\u0131l\u0131ma ge\u00e7er, b\u00f6ylelikle yaz\u0131l\u0131mdaki herhangi bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131, nesnenin Office belgesindeki Adobe Flash i\u00e7eri\u011fine eklenmesiyle de istismar edilebilir. Sald\u0131rganlar\u0131n kulland\u0131\u011f\u0131 bu t\u00fcr sald\u0131r\u0131 vekt\u00f6r\u00fcne \u00f6rnek olarak, k\u00f6t\u00fc ama\u00e7l\u0131 SWF dosyalar\u0131n\u0131n Excel belgelerine eklenmesiyle istismar edilmi\u015f bir Adobe Flash Player S\u0131f\u0131r\u0131nc\u0131 G\u00fcn sald\u0131r\u0131s\u0131 olan\u00a0CVE-2018-4878<\/a><\/u> verilebilir. Bu t\u00fcr sald\u0131r\u0131larda k\u00f6t\u00fc ama\u00e7l\u0131 Excel belgesi, Flash g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 tetikleyebilecek ve ekli kabuk kodunu y\u00fcr\u00fctebilecek Adobe Flash i\u00e7eri\u011fini bar\u0131nd\u0131r\u0131r.<\/p>\n

 <\/p>\n

Microsoft Denklem D\u00fczenleyicisi<\/strong><\/p>\n

Adobe Flash dosyalar\u0131n\u0131 bir Office belgesine eklemede kullan\u0131lana benzer bir y\u00f6ntemle, kolayca matematik denklemleri yazman\u0131z\u0131 sa\u011flayan bir program olan Microsoft Denklem D\u00fczenleyicisi taraf\u0131ndan ayr\u0131\u015ft\u0131r\u0131lacak belgelere de denklemler ekleyebilirsiniz.<\/p>\n

\"\"<\/span><\/div><\/p>\n

\u015eekil 2. \u00a0Microsoft Denklem D\u00fczenleyicisi<\/p>\n

\u00d6nceki \u00f6rne\u011fimizde oldu\u011fu gibi, denklem d\u00fczenleyicisindeki g\u00fcvenlik a\u00e7\u0131klar\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 Office belgeleri kullan\u0131larak istismar edilebilir. CVE-2017-11882<\/a><\/u> istismar edildi\u011finde bunun \u00f6rneklerini yak\u0131n zamanda g\u00f6rd\u00fck. Bu durum CVE-2018-0802<\/a><\/u> gibi ba\u015fka istismarlar\u0131n da yolunu a\u00e7t\u0131. Bunlar\u0131n her ikisi de denklem d\u00fczenleyicisindeki kusurlar\u0131 istismar ederek, kullan\u0131c\u0131n\u0131n bir Office belgesini a\u00e7mas\u0131yla sald\u0131rganlar\u0131n uzaktan kod y\u00fcr\u00fctmesini sa\u011flamaktad\u0131r. H\u00e2l\u00e2 ge\u00e7erli olmamakla birlikte, Microsoft Denklem D\u00fczenleyicisi\u2019nde Unit 42 ara\u015ft\u0131rmac\u0131lar\u0131 taraf\u0131ndan CVE-2018-0807<\/a><\/u>\u00a0ve\u00a0CVE-2018-0798<\/a><\/u> gibi benzer istismarlar saptanm\u0131\u015ft\u0131r.<\/p>\n

Microsoft Denklem D\u00fczenleyicisi kendi i\u015flemiyle (eqnedt32.exe) \u00e7al\u0131\u015ft\u0131\u011f\u0131ndan, EMET ve Windows Defender Exploit Guard gibi Microsoft Office\u2019e \u00f6zg\u00fc korumalar varsay\u0131lan olarak etkili de\u011fildir, \u00e7\u00fcnk\u00fc bunlar yaln\u0131zca Microsoft Office i\u015flemlerini (winword.exe gibi) korumaktad\u0131r.<\/p>\n

 <\/p>\n

OLE Nesneleri ve HTA \u0130\u015fleyicileri<\/strong><\/p>\n

OLE Nesneleri ve HTA \u0130\u015fleyicileri, Office belgelerinin, i\u00e7eriklerinde ba\u015fka belgeler bulundurmak i\u00e7in ba\u015fvuruda bulunmak \u00fczere kulland\u0131\u011f\u0131 mekanizmalard\u0131r. Bir u\u00e7 noktay\u0131 tehlikeye sokmak i\u00e7in a\u015fa\u011f\u0131daki \u015fekilde kullan\u0131labilirler:<\/p>\n