Microsoft, Aralık ayında CVE-2022-37958 ile ilgili bir uyarı yayınlamış ve Eylül ayında yamalanan hatanın hala sorunlu olduğunu açıkça belirtmişti. The Cyber Express’in kayıtlı okuyucuları arasında yaptığı bir anket, birçok kişinin hatadan habersiz olduğunu ortaya çıkardı.
Coğrafyalarda, farklı sektörlerdeki kuruluşlarda çalışan 32 CISO lideri arasında yapılan rastgele bir anket, Aralık ayındaki uyarıdan sonra da yamayı yalnızca %17’sinin başlattığını gösterdi. Şaşırtıcı bir şekilde %43’ü henüz sistemlerinin tam bir güncellemesini sağlamamıştır.
Yanıtlayan birkaç kişi aslında bize ankete duyulan ihtiyacı sordu. Başka bir deyişle, yaygara neden?
Bu neden büyük bir siber güvenlik kararı?
CVE-2022-37958, tüm Windows cihazlarında uzaktan kod yürütmeye (RCE) izin verebilir. Microsoft hatayı Eylül ayında tespit etti ve bir yama yayınladıbaşlangıçta yalnızca potansiyel olarak hassas bilgilerin ifşasına izin verdiğine inanarak.
Şu anda SPNEGO Extended Negotiation (NEGOEX) Security Mechanism’de, istemci ile sunucu arasında güvenlik mekanizmalarının pazarlığına izin veren bir güvenlik açığı bulunmaktadır.
Bu güvenlik açığı, Sunucu İleti Bloğu (SMB) ve Uzak Masaüstü Protokolü (RDP) dahil olmak üzere çeşitli protokolleri etkileyen bir kimlik doğrulama öncesi uzaktan kod yürütme sorunudur.
Güvenlik açığı, saldırganların, kimlik doğrulama kullanan herhangi bir Windows uygulaması aracılığıyla NEGOEX protokolüne erişerek uzaktan rasgele kod yürütmesine de olanak tanır.
Etkilenen protokollerin listesi kapsamlı değildir ve Kerberos veya Net-NTLM kimlik doğrulaması ile kullanım için SPNEGO kimlik doğrulama anlaşması etkinleştirildiğinde potansiyel olarak Basit İleti Aktarım Protokolü (SMTP) ve Hiper Metin Aktarım Protokolünü (HTTP) içerebilir.
Aralık ayında, IBM güvenlik araştırmacısı Valentina Palmiotti keşfetti CVE-2022-37958’in RCE’ye yol açabileceğini. Microsoft, Aralık 2022 Salı Yaması güncellemesindeki hatayı yeniden değerlendirdi ve onu Bilgi İfşası yerine RCE güvenlik açığı olarak sınıflandırmaya karar verdi.
Ayrıca, güvenlik açığının önem derecesini “Kritik”e yükseltti ve ona 8,1’lik bir CVSSv3 puanı atadı. Orijinal CVSSv3 puanı 7,5 idi ve şiddet derecesi “Yüksek” idi.
Onu ölümcül yapan, rakip olma potansiyeline sahip olmasıdır. Ebedi Mavi.
Yama Uygulama: Siber güvenlik kararı 101
EternalBlue istismarı, NSA tarafından geleceğin siber saldırılarında kullanılmak üzere olası bir saldırı vektörü olarak oluşturuldu, ancak daha sonra Shadow Brokers tarafından 14 Nisan 2017’de kamuoyuna açıklandı.
Bu, Microsoft güvenlik açığı için zaten yamalar yayınladıktan sonra meydana geldi. Bir aydan biraz daha uzun bir süre sonra, 12 Mayıs 2017’de, WannaCry fidye yazılımı saldırısı, dünya çapında yama uygulanmamış bilgisayarları hedeflemek için EternalBlue’yu kullandı.
EternalBlue gibi, bu güvenlik açığı da saldırganların kimlik doğrulaması olmadan kötü amaçlı kod yürütmesine olanak tanır ve solucan olabilir, yani bir açıktan yararlanma, diğer savunmasız sistemlerde kendi kendini kopyalayan açıklardan yararlanma zincirleme reaksiyonunu tetikleyebilir.
Ancak, dosya ve yazıcı paylaşımı için SMB protokolüyle sınırlı olan EternalBlue’nun aksine, bu en son güvenlik açığı daha geniş bir ağ protokolü yelpazesinde mevcuttur ve saldırganlara daha fazla esneklik sağlar.
Bir yama üç aydır mevcut. Ancak, önceki güvenlik açıklarında olduğu gibi, Cyber Express bazı kuruluşların yamaları dağıtmakta yavaş olduğunu tespit etti. Bazı durumlarda yama yapmayı tamamen kaçırdılar!
Firmalar neden yama yapamıyor?
Yoksulluğa katkıda bulunan birkaç ortak zorluk vardır. yama şirketlerde yönetim, yazdı Dan Richings, Kıdemli Başkan Yardımcısı – Küresel Ön Satış ve Çözüm Mühendisliği, uç nokta BT yönetimi işletmesi Adaptiva’da.
Birincisi, çalışanların uygulanması gereken yamaların sürekli akışından bunalması olabilir.
Bu, etkilenen uygulamanın ne kadar yaygın olarak kullanıldığına ve güvenlik açığının ne kadar ciddi olduğuna bağlı olarak önceliklendirilmesi gereken güncellemelerin birikmesine neden olabilir.
Ek olarak, uzaktan çalışmadaki artış, daha fazla çalışanın iş için kişisel cihazları kullanmasına yol açtı; bu cihazların güvenliğini sağlamak ve güncellemeleri izlemek daha zor olabilir.
Diğer bir konu da, BT içindeki farklı ekiplerin, iletişim ve iş akışı kesintilerine yol açan güvenlik açıklarını belirleme ve yamaları uygulama gibi farklı görevlerden sorumlu olabilmesidir.
Değişiklik yönetimi süreçleri de yavaş ve eski olabilir, bu da yama sürecinde gecikmelere neden olabilir. Ayrıca, yamaların kendilerinin de kusurlu veya risk altında olması olasılığı vardır, bu da BT ekiplerinin dağıtımdan önce yamaları dikkatli bir şekilde test etmesini ve doğrulamasını gerektirir.
Son olarak, birçok yama işlemi hala manuel olarak yapılmakta ve önemli miktarda zaman ve kaynak gerektirmektedir.