Excel’deki Yeni Zafiyet 120 Milyon Kullanıcı için Risk Taşıyor

Güvenlik araştırmacıları Microsoft’un Excel uygulamasında yeni bir zafiyet buldu ve 120 milyon kullanıcının risk altında olduğu söyleniyor. Mimecast Services Ltd. tarafından bulunan bu açık kullanıcıların farklı kaynaklardan veri almasını sağlayan Power Query özelliğinden faydalanıyor.

Power Query Nedir?

Microsoft’un sayfasında “Başka bir uygulama ile dinamik veri değişimi (DDE) konuşma başlatmak, bilgi öğesi istemek ve bu bilgileri bir denetimi, bir form veya raporu görüntülemek için DDE işlevini kullanabilirsiniz.” deniliyor.

excel'deki zafiyet Microsoft Query'den kaynaklanıyor.
MS Excel Query Nasıl Açılıyor?

Mimecast Services Ltd araştırmacıları yayımladıkları blog yazısında zafiyeti detaylı olarak açıkladı ve saldırganlar tarafından nasıl istismar edilebileceğini gösterdi. Siber saldırganların Power Query’yi kullanarak uzaktan Dinamik Veri Değişimi (DDE – Dynamic Data Exchange) saldırısı düzenleyebildikleri görülüyor.

Zafiyet aynı zamanda saldırganların daha sofistike saldırılar düzenleyerek Excel çalışma sayfası açıldığı an devreye girecek bir zararlı yazılım dağıtmasına da neden olabiliyor. Saldırgan pre-payload ve pre-exploitation kontrollerine sahip olabilir ve zararlı yazılım yüklü payload’u kurbana iletirken dosyanın zararsız görünmesini ve sandbox ya da diğer güvenlik çözümlerini atlatmasını sağlayabilir.

İyi tarafından bakacak olursak; Microsoft zafiyetin varlığından haberdar ve Kasım 2017’de yayınlanan bir uyarı belgesini yeniden yayınladı. Uyarı belgesi, kullanıcıların sistemlerine kötü amaçlı yazılım yüklenmesi için çeşitli güvenlik uyarılarına tıklamaları gerekeceğini belirtiyor. Ayrıca, harici veri bağlantılarını engellemek için kullanılmadığında DDE (Dinamik veri değişimi) özelliğinin devre dışı bırakılması da öneriliyor.

UYARI: Tüm Microsoft Excel müşterilerinin Microsoft tarafından önerilen geçici çözümleri uygulaması gereklidir zira bu zafiyet ve potansiyel tehditler gerçek ve sistemlerinize/bilgisayarınıza ciddi zarar verebilir.

Henüz zafiyetin istismar edildiğine dair bir haber yok ancak DDE özelliği genellikle varsayılan olarak açık halde geliyor ve kullanıcıların gerekmediğinde bu özelliği kapatmak gibi bir alışkanlığı bulunmuyor. Microsoft’un 2017’de yayımladığı önerileri dikkate alarak kaç kuruluşun bilgisayarlarındaki DDE özelliğinin kapatıldığı da soru işareti.

DDE Özelliği Nasıl Kapatılır?

Şimdiye kadar hiç kullanmadığınız bir özellik olabilir ancak daha önce karşınıza aşağıdaki gibi (Örneğin Word dokümanlarında) “Bu doküman farklı bir dosyaya ait linkler içeriyor olabilir. Linkli dokümanlara ait bilgiler ile güncellemek istiyor musunuz?” sorusu çıkmıştır.

Bu uyarı ile karşılaşıldığında kullanıcıların “Hayır” işaretleyerek kendilerini/verilerini koruması mümkün ancak eğer korunmayı kullanıcı inisiyatifine bırakmak istemiyorsanız (ki bu seçenek ancak iş yerinizde DDE kullanımının şart olmadığı durumlar için geçerli) otomatik olarak devre dışı bırakmanız lazım. Bunun için GitHub’da tutulan ve çalıştırıldığında Office belgelerindeki güncelleme bağlantılarının işlevselliğini devre dışı bırakan bir kayıt defteri dosyası mevcut. Sadece Excel değil, Word, WordMail, OneNote’u da kapsıyor.

Bu ayarı manuel olarak yapmak isteyenlerin ise Dosya > Seçenekler > Gelişmiş altında yer alan “Genel” başlığını bularak buradan “Açıldığında linkleri otomatik güncelle” kutusunda bulunan tiki kaldırması gerekiyor.

Etkilenmemek için Ne Yapmalıyız?

Microsoft yayınladığı uyarı ile doğru önlemlerin alınmasının kullanıcının inisiyatifinde olduğunu belirtiyor.

Yapılacak en iyi şey kullanılan tüm bilgisayarlarda DDE’nin hemen devre dışı bırakılması. Ayrıca e-posta ile gelen Excel eklerinin indirilmemesi ve açılmamasında da fayda var. Belirttiğimiz gibi, bu zafiyet ile siber saldırganlar güvenlik çözümlerinizi kolayca atlatabilecektir,
yani anti-virüs var nasılsa diye düşünmeyin.

Son olarak, Excel’den gelen hiçbir güvenlik uyarısını görmezden gelmeyin, sizi potansiyel bir zararlı yazılıma karşı uyarıyor olabilir.

EDİT1: Biz prensip olarak GitHub bağlantısı paylaşmıyoruz çünkü kodu inceleyecek kadar zamanımız olmadı ancak bütün sorumluluğu size ait olacak şekilde incelemek isterseniz link burada.

EDİT2: Dinamik veri değişimi yapmaya çalıştığımda aldığım uyarı aşağıdaki gibi:

EDİT3: Farklı Office sürümlerine göre ayarların yeri değişiklik gösterebiliyor. Eğer 2019 Office kullanıyorsanız Dosya > Seçenekler > Gelişmiş altında yer alan “Genel” başlığına geldikten sonra gördüğümüz ekranda aşağıdaki değişiklikleri yapmak gerekiyor:

(Yukarıda eski office sürümlerinde yapılan değişiklik ile aynı şekilde kırmızı çarpı işaretli kutuda bulunan tikin kaldırılması gerekiyor.)

6 yorum

  1. “GitHub’da tutulan ve çalıştırıldığında Office belgelerindeki güncelleme bağlantılarının işlevselliğini devre dışı bırakan bir kayıt defteri dosyası mevcut” dediğiniz bağlantıyı paylaşabilir misiniz? Excel’de Dosya > Seçenekler > Gelişmiş altında yer alan “Genel” başlığını bularak buradan “Açıldığında linkleri otomatik güncelle” seçeneği yok, bu sadece Word’de var. Kurumum için duyuru yapacaktım ama öncesinde sizden bilgi almak istedim acaba Excel’de başka bir seçenek mi seçiliyor diye. Teşekkürler…

  2. Merhaba,

    Excel DDE disable’a çekmeye dair tüm kaynaklarda “DDE Kullanan diğer uygulamaları yoksay” kısmının tikinin kaldırılması gerektiği belirtilmekte fakat yukarıdaki yorumunuzda tam tersi olarak “DDE kullanan diğer uygulamaları yoksay” kutucuğunun işaretlenmesi gerektiğini belirtmişsiniz. Hangisi doğrudur?

    https://www.google.com/search?rlz=1C1NHXL_trTR855TR855&biw=1536&bih=722&ei=bAYaXdjuMPLhmwWP34TgCQ&q=How+do+I+disable+DDE+in+Excel%3F&oq=How+do+I+disable+DDE+in+Excel%3F&gs_l=psy-ab.3..0i203.3199.3199..3438…0.0..0.156.156.0j1……0….1..gws-wiz.J4ad5QQJ6Fs

    İyi çalışmalar.

    • Merhaba, yazının o kısmı pek açıklayıcı olmamış haklısınız, üst kısımda “tiki kaldırın” diye belirtmiştik bu nedenle altta sadece çarpı işareti koysak yeter diye düşündük, düzeltilip tekrar yayınlandı. Uyarınız için teşekkür ediyoruz.

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*