Microsoft’un 15 Haziran’da Internet Explorer 11 masaüstü uygulaması için resmi desteğinin sona ermesi, neredeyse 27 yıldır var olan bir tarayıcıyı tarihe gömdü. Öyle olsa bile, IE muhtemelen saldırganlar için cazip bir hedef sağlayacaktır.
Bunun nedeni, Microsoft’un uzun zamandır bilinen bu teknolojiyi kullanımdan kaldırma planlarına rağmen bazı kuruluşların hala Internet Explorer (IE) kullanmasıdır. Bu arada Microsoft, MSHTML (aka Trident) IE tarayıcı motorunu 2029’a kadar Windows 11’in bir parçası olarak elinde tuttu ve kuruluşların Microsoft Edge tarayıcısına geçiş yaparken IE modunda çalışmasına izin verdi. Başka bir deyişle, IE henüz ölmedi ve ona yönelik tehditler de yok.
IE, bugünlerde dünya çapında tarayıcı pazarında ihmal edilebilir bir paya sahip olsa da (%0.52), birçok kuruluş hala onu çalıştırıyor veya IE’ye bağlı eski uygulamalara sahip. Japonya ve Kore gibi ülkelerde durum böyle görünüyor. Hikayeler Nikkei Asya ve Japonya Times bu hafta Keyman’s Net tarafından yapılan bir anketten alıntı yapıldı ve ankete katılan 350 Japon şirketinin yaklaşık %49’unun hala IE kullandığını gösteriyor. Güney Kore’nin MBN’sindeki bir başka raporda birkaç büyük kuruluş hala IE’yi çalıştırıyor.
Ivanti’nin kıdemli ürün müdürü Todd Schell, “Internet Explorer 20 yılı aşkın bir süredir piyasada ve birçok şirket onu Web’de gezinmenin ötesinde birçok şey için kullanmaya yatırım yaptı” diyor. Hala, web sitelerinde genellikle daha eski, özelleştirilmiş komut dosyaları çalıştıran veya daha eski komut dosyaları gerektirebilecek uygulamalara sahip olan, IE’ye yakından bağlı kurumsal uygulamalar vardır. “Örneğin, şirketler IE’de raporlar oluşturan ve ardından bunları görüntüleyen kapsamlı komut dosyaları oluşturmuş olabilir. Bunları HTML 5 for Edge veya diğer modern tarayıcıları kullanacak şekilde güncellemeye yatırım yapmadılar.”
Bu tür kuruluşlar, artık desteklenmeyen diğer tüm yazılım teknolojileriyle ilişkili bir tür güvenlik sorunuyla karşı karşıyadır. Schell, IE 11’i destek bitiş tarihinden sonra bağımsız bir uygulama olarak çalıştırmak, daha önce bilinmeyen veya daha da kötüsü, bilinen ancak yama uygulanmamış güvenlik açıklarından ileriye dönük olarak yararlanılabileceği anlamına gelir.
Schell, “Bu, herhangi bir uygulama veya işletim sistemi için geçerlidir, ancak tarihsel olarak bu kadar yaygın kullanıma sahip tarayıcılar için daha da büyük bir sorun olmuştur” diyor. Şu anda dünya çapında kaç kuruluşun daha önce göç etmedikleri için artık desteklenmeyen bir teknolojiyi kullanmaya takıldığını söylemek zor. Ancak Microsoft’un 2029’a kadar Edge’de uyumluluk modunu desteklemeye devam edeceği gerçeğine bakılırsa, IE muhtemelen yaygın olarak kullanılıyor.
Tenable’da kıdemli araştırma mühendisi Claire Tills, güvenlik etkileri nedeniyle IE’den uzaklaşmaya henüz öncelik vermemiş herhangi bir kuruluşun, diyor. “Destek sonu, yeni güvenlik açıklarının belirli bir kritiklik eşiğini karşılamadıkları takdirde güvenlik düzeltme ekleri almayacağı ve bu nadir durumlarda bile bu güncellemelerin yalnızca Genişletilmiş Güvenlik Güncellemeleri için ödeme yapan müşteriler tarafından kullanılabileceği anlamına geliyor” dedi. diyor.
Hatalar Hala Bol
Microsoft Edge, Windows 10’da artık resmi olarak Internet Explorer 11 masaüstü uygulamasının yerini aldı. Ancak MSHTML motorunun 2029’a kadar Windows işletim sisteminin bir parçası olarak var olacağı gerçeği, kuruluşların tarayıcı motorundaki güvenlik açıkları riski altında olduğu anlamına geliyor. artık IE kullanmıyor.
Google’ın Project Zero böcek avı ekibinde güvenlik araştırmacısı olan Maddie Stone’a göre, IE, kullanımı daralmış olsa bile, son yıllarda oldukça fazla sayıda sıfır gün hatası yaşadı. Örneğin, geçen yıl Project Zero ekibi IE’de dört sıfır gün izlendi – tarayıcıda aynı sayıda sıfır gün keşfedildiği 2016’dan bu yana en fazla. Geçen yılki dört sıfır gün güvenlik açığından üçü (CVE-2021-26411, CVE-2021-33742ve CVE-2021-40444) MSHTML’yi hedef aldı ve Web dışındaki yöntemlerle istismar edildi, diyor Stone.
Stone, “Microsoft’un gelecekte MSHTML’ye erişimi nasıl engelleyebileceği veya engelleyemeyeceği benim için net değil” diyor. “Ancak erişim şimdi olduğu gibi kalırsa, saldırganların geçen yıl gördüğümüz gibi Office belgeleri ve diğer dosya türleri gibi yollardan MSHTML’deki güvenlik açıklarından yararlanabileceği anlamına gelir” diyor üç MSHTML sıfır günü ile. Stone, vahşi hedefleme IE bileşenlerinde tespit edilen sıfırıncı gün açıklarının sayısının 2015’ten 2021’e kadar oldukça tutarlı olduğunu ve tarayıcının saldırganlar için popüler bir hedef olmaya devam ettiğini gösterdiğini söylüyor.
Tenable’s Tills, 2021’de bir Microsoft ürününde daha yaygın olarak yararlanılan güvenlik açıklarından birinin aslında MSHTML’de bir uzaktan kod yürütme sıfır günü olan CVE-2021-40444, olduğunu belirtiyor. Güvenlik açığı, hizmet olarak fidye yazılımı operatörlerinden gelişmiş kalıcı tehdit gruplarına kadar her şey tarafından yapılan kimlik avı saldırılarında kapsamlı bir şekilde kullanıldı.
Tills, “Microsoft’un MSHTML’yi desteklemeye devam edeceği göz önüne alındığında, kuruluşlar CVE-2021-40444 gibi güvenlik açıkları için azaltıcı önlemleri incelemeli ve gelecekteki güvenlik açıkları riskini azaltmak için hangilerini uzun vadede benimseyebileceklerini belirlemelidir.”
Olağan Azaltmalar
Microsoft, MSHTML’yi hedefleyen saldırılardan kuruluşlar için potansiyel risk sorunu hakkında yorum yapmak için bu gönderiden itibaren müsait değildi. Ancak Ivanti’den Schell, Microsoft’un IE uyumluluk modunda çalışırken MSHTML çevresinde uygun güvenlik ve korumalı alan sağladığını varsaymanın makul olduğunu söylüyor. Desteklenen bir ürün ve özellik olduğu için Microsoft’un MSHTML için gerekli güncellemeleri izleyip sağlayabileceğini söylüyor. Her zaman olduğu gibi en iyi azaltma, kuruluşların yazılımlarını, işletim sistemlerini ve tarayıcılarını güncel tutmaları ve virüsten koruma ve kötü amaçlı yazılım algılama mekanizmalarının da güncel olmasını sağlamalarıdır.
SANS Enstitüsü araştırma dekanı Johannes Ullrich, “MSHTML artık Windows 11’de sahip olduğumuz birçok kitaplıktan yalnızca biri” diyor. “Tabii ki, bu karmaşık bir durum ve hala önemli ancak bir şekilde azaltılmış bir saldırı yüzeyi var” diye belirtiyor. Bu nedenle, kuruluşlar için en iyi azaltmanın, güncellemeler kullanıma sunulduğunda Windows’a yama yapmaya devam etmek olduğunu söylüyor.
Ullrich, saldırganlar için “IE hala değerli bir hedef olacak kadar popüler” diye ekliyor.
Öyle olsa bile, IE’de keşfedilen sıfır gün sayısı, saldırganların aniden ona saldırmaya olan ilgilerini artırdığı anlamına gelmez. Ullrich, “Eski IE kod tabanındaki daha yeni araçları kullanarak güvenlik açıklarını bulmak daha kolay olabilir,” diyor.