Word belgeleri e-posta eki olarak gönderiliyor
Microsoft Word programının tüm versiyonlarını etkileyen yamalanmamış bir ‘Zero-day’ güvenlik zaafı, hackerlara saldırı fırsatı veriyor. Güvenlik araştırmacıları, Dridex olarak adlandırılan zararlı bir trojanı kullanan hackerların dünya çapında milyonlarca kullanıcıya bu trojanı bulaştırdıklarını açığa çıkardılar.
Amerikan siber güvenlik firması Proofpoint’ten uzmanlar 10 Nisan’da yaptıkları açıklamada söz konusu zararlı yazılımı yayan geniş tabanlı bir e-posta gönderiminin gözlendiğini belirttiler. Bu açıklama, söz konusu güvenlik açığının varlığını ilk olarak tespit eden McAfee ve FireEye firmalarının yaptıkları açıklamaları güçlendiriyor.
McAfee araştırmacıları daha önce tespit edilen ilk saldırının bu yılın Ocak ayında tespit edildiğini söylemiş, zararlı yazılımla ilişkilendirilmiş Microsoft Word dosyalarıyla ilgili örnekleri açıklamıştı. Buna göre zararlı yazılım Windows 10 üzerinde çalışan en son versiyon da dahil olmak üzere tüm Office versiyonlarını etkileyebiliyor.
Daha da kötüsü kullanıcılar için bir çözüm yolu yoktu. Dolayısı ile daha önce tespit edilmemiş olan zararlının tespit edilmiş olmasına rağmen kullanıcılara yönelik tehdit devam ediyordu.
Bu denli ciddi bir siber güvenlik sorunu karşısında ağzını bıçak açmayan teknoloji devinin bu hafta 11 Nisan’da bu sorunla ilgili olarak bir yama yayınlaması bekleniyor.
Proofpoint araştırmacıları bir blog gönderisinde keşfedilen bu açığın, Dridex bankacılık trojanının geliştiricilerinin gözle görülür bir atiklik ve üretkenlik seviyesine sahip olduklarını gösterdiğini belirtiyorlar. Bu trojan tipik olarak Windows kullanıcılarına macro tabanlı dökümanların e-posta eki olarak gönderilmesiyle yayılıyor.
“Alıcılar dökümanı açtıkları zaman zararlı yazılım, Dridex botnet ID 7500 adlı trojanın kullanıcının sistemine yüklenmesine sebep oluyor.”
“Office 2010’da yaptığımız testte saldırıya uğrayan sisteme bütünüyle zararlı yazılım yüklendiğini gördük. Hackerlar esneklik ve adaptasyon becerilerini sergilemeye devam ediyorlar.”
“Belgeler üzerinden zararlı yazılım yayma şeklindeki saldırı biçimleri pek rastlanır değildir. Yeni, kullanılabilir açıklar kolayca elde edilebilir değillerdir. Fakat bu tip bir yöntem bulunduğunda da bu örnekte olduğu gibi saldırganlar büyük bir çalışma başlatarak maksimum faydayı sağlamaya çalışırlar.”
Size gelen e-posta eklerinde eğer Word dosyası görürseniz ve göndericiyi tanımıyorsanız, bu e-postaları hiç açmadan doğrudan silmeniz gerekiyor. Aksi takdirde sıradan bir Word dosyası gibi görünen dosya açıldığında siz farkında olmadan bilgisayarınıza Dridex trojanını yüklüyor ve tüm bankacılık bilgilerinizi çalıyor.
Bu soruna karşı geçici bir önlem için bu adımı gerçekleştirin;
Başlat/arama çubuğuna regedit yazarak kayıt defterini açın ve aşağıdaki yolu bulun
Software\Microsoft\Office\15.0\Word\Security\FileBlock\RtfFiles
RtfFiles değeri üzerine tıklayarak 2 yapın.
OpenInProtectedView değerini ise 0 yapın
Böylece Word RCE ayarını bloke ederek trojanın bulaşmasına engel olabilirsiniz.
NOT : 15.0, Office versiyonuna göre değişebilir. 12.0 ya da kullandığınız Office versiyonuna bağlı olarak farklı rakamlar da görebilirsiniz.
