Nisan 2023 ayı için Salı Yaması geldi ve bununla birlikte, aktif olarak istismar edilen bir sıfır gün güvenlik açığı da dahil olmak üzere toplam 97 güvenlik açığını yamalamak için tasarlanmış bir dizi yeni güvenlik güncellemesi geliyor. Yamalar Microsoft Windows ve Windows Bileşenleri, Microsoft Office ve Office Bileşenleri, Windows Defender, SharePoint Server, Windows Hyper-V, PostScript Yazıcı ve Microsoft Dynamics için mevcuttur. Bu güncellemeler güvenlik açıklarını giderir.
Yayın sırasında, yeni CVE’lerden birinin zaten bir saldırının hedefi olduğu bildiriliyor. CVE-2023-28252 izleme numarası atanan ve CVSS puanı 7,8 olan bu güvenlik açığı, Windows Ortak Günlük Dosyası Sistemi Sürücüsü bileşenini etkiliyor. Bu sıfır gün güvenlik açığı şu anda aktif olarak kullanılıyor ve aynı bileşende yalnızca iki ay önce düzeltilen başka bir güvenlik açığıyla korkutucu bir şekilde aynı görünüyor. Bu, ilk çarenin yetersiz olduğu kadar, saldırganların bunu aşmanın bir yolunu keşfettiklerine de işaret ediyor. Bu saldırıların kapsamı hakkında herhangi bir bilgi bulunmamaktadır; yine de, bu tür güvenlik açıkları, kötü amaçlı yazılımları veya fidye yazılımlarını yaymak için sıklıkla kod yürütme sorunlarıyla birleştirilir. Bu düzeltmeyi mümkün olan en kısa sürede test etmek ve uygulamak son derece önemlidir.
Microsoft yaptığı uyarıda, bu sorundan başarıyla yararlanan bir saldırganın, güvenlik açığından yararlanılması halinde SİSTEM haklarını elde edebileceğini söyledi. Şirket, CVE-2023-28252 güvenlik açığını keşfedip bildirdiği için Mandiant’tan güvenlik araştırmacısı Genwei Jiang ve DBAPPSecurity WeBin Lab’den Quan Jin’e kredi verdi.
Bu ay bize CVE-2013-3900 olarak izlenen ilgi çekici bir yükseltme getiriyor. İlk olarak on yıl önce yayınlanan bu yama, son zamanlarda tehdit aktörleri tarafından 3CX saldırılarında kullanıldığı için yeniden yayınlanıyor. Daha önce bir “kaydolma” çaresi olan yeni yama, daha fazla sistem için güncellemeler içeriyor ve kuruluşlar için ek tavsiyeler içeriyor. Microsoft Güvenilir Kök Programındaki bilgiler de dahil olmak üzere tüm tavsiyeleri değerlendirmek ve ortamınızı korumak için uygun önlemleri almak çok önemlidir. Tüm önerileri gözden geçirmek, başlamak için iyi bir yerdir.
QueueJumper (CVE-2023-21554) adıyla anılan bu kusurların en ciddisi, yetkisiz saldırganların Windows hizmet işlemi mqsvc.exe bağlamında uzaktan rasgele kod yürütmesini mümkün kılabilir. Nisan Yaması Salı günü yayınlanan sürümle Microsoft, bu güvenlik açığı için bir düzeltme ekledi.
MSMQ, Microsoft Windows işletim sistemi için bir mesaj altyapısı ve geliştirme platformudur ve geliştiricilerin bir mesaj komisyoncusu kullanarak gevşek bağlantı ile dağıtılmış mesajlaşma uygulamaları oluşturmasına olanak tanır. MSMQ, en son Windows Server 2022 ve Windows 11 dahil olmak üzere tüm Windows işletim sistemlerinde hala erişilebilir durumdadır ve isteğe bağlı bir Windows bileşeni olarak sağlanır. “Unutulmuş” veya “eski” bir hizmet olarak kabul edilmesine rağmen, MSMQ hala mevcuttur.
CVE tanımlayıcısı CVE-2023-21554 altında izlenen QueueJumper güvenlik açığı sayesinde, 1801 numaralı TCP bağlantı noktasına erişilmesi, bir saldırganın kötü amaçlı yazılımı uzaktan ve yetkilendirme olmadan yürütmesine olanak tanır. Bir saldırgan, açıktan yararlanmayı kullanırken 1801/tcp bağlantı noktasına yalnızca bir paket göndererek sürecin kontrolünü ele geçirebilir ve bu da güvenlik açığının kullanılmasına neden olur.
CheckPoint, Windows sistemlerinin tüm yöneticilerine MSMQ hizmetinin yüklenip yüklenmediğini görmek için sunucularını ve istemcilerini incelemelerini tavsiye eder.
Kullanıcılar veya yöneticiler, bilgisayarda “Message Queuing” adlı bir hizmetin şu anda etkin olup olmadığını ve TCP bağlantı noktası 1801’in gelen bağlantıları bekleyip beklemediğini kontrol edebilir. Zaten yüklüyse, gerçekten ihtiyacınız olup olmadığını kontrol etmelisiniz.
Güvenlik için gereksiz saldırı yüzeylerini kapatmak neredeyse her zaman çok mükemmel bir uygulamadır. Kullanıcılar kendilerini bu güvenlik açığından korumak için Microsoft’un resmi yamasını mümkün olan en kısa sürede uygulamalıdır. Geçici bir çözüm olarak, bir şirket MSMQ’ya ihtiyaç duyuyorsa ancak Microsoft’un şu anda yayımladığı düzeltmeyi dağıtamıyorsa, şirket güvenlik duvarı kurallarını kullanarak 1801/tcp bağlantı noktasına güvenilmeyen kaynaklardan gelen bağlantıları engelleyebilir.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.