Microsoft’un Aralık 2023 Salı Yaması hafif bir yama: 33 yama, bunlardan yalnızca dördü kritik kabul ediliyor.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “Microsoft bu ay herhangi bir sıfır gün güvenlik açığını düzeltmedi; bu, 2023’te yalnızca ikinci kez sıfır günlerin düzeltilmediğini işaret etti (geçen ay Haziran’dı),” dedi.
“Bu ay yamalanan 33 güvenlik açığından 11’i Microsoft’a göre İstismar Olasılığı Yüksek olarak derecelendirildi. Bu kusurların neredeyse dörtte üçü ayrıcalık yükselmesi güvenlik açıklarından oluşuyor ve bunu %18,2 ile uzaktan kod yürütme kusurları izliyor.”
Aralık 2023 Yaması Salı: Dikkat edilmesi gereken güvenlik açıkları
Yararlanma olasılığının daha yüksek olduğu kusurlar arasında Windows MSHTML Platformundaki bir RCE kusuru olan CVE-2023-35628 yer almaktadır.
“Saldırgan, Outlook istemcisi tarafından alınıp işlendiğinde otomatik olarak tetiklenen özel hazırlanmış bir e-posta göndererek bu güvenlik açığından yararlanabilir. Bu, e-posta Önizleme Bölmesinde görüntülenmeden ÖNCE istismara yol açabilir,” diye açıkladı Microsoft.
Suistimalin gerçekleştirilmesini zorlaştıran tek şey, saldırganların aynı zamanda “karmaşık hafıza şekillendirme tekniklerini” aynı anda kullanabilmeleri gerektiği gerçeğidir.
Microsoft Outlook’taki bir kusur olan CVE-2023-35636, bir saldırganın NTLM karmalarını ele geçirmesine olanak verebilir.
“Bir saldırgan, potansiyel bir kurbanı, e-posta yoluyla gönderilebilecek veya kötü amaçlı bir web sitesinde barındırılabilecek özel hazırlanmış bir dosyayı açmaya ikna ederek bu kusurdan yararlanabilir. Bunu öne çıkaran şey, bu kusurun istismar edilmesinin NTLM geçiş saldırısının bir parçası olarak kullanılabilecek NTLM karmalarının açığa çıkmasına yol açmasıdır,” dedi Narang.
“Bu, Microsoft Outlook’ta sıfır gün olarak istismar edilen ve Mart 2023 Yaması Salı sürümünde yamalanan bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2023-23397’yi anımsatıyor. Ancak CVE-2023-23397’den farklı olarak CVE-2023-35636, Microsoft’un Önizleme Bölmesi aracılığıyla kullanılamaz, bu da bu kusurun ciddiyetini azaltır.”
Trend Micro Inc.’in Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs ayrıca bir Microsoft Power Platform (ve Azure Logic Apps) Bağlayıcısı sahtekarlık güvenlik açığı olan CVE-2023-36019’u da belirledi ve şöyle diyor: “Daha çok şu şekilde hareket ediyor: bir kimlik sahtekarlığı hatasından ziyade kod yürütme hatası.
Microsoft, “Güvenlik açığı web sunucusunda, ancak kötü amaçlı komut dosyaları kurbanın makinesindeki tarayıcıda yürütülüyor” dedi. “Kullanıcının, saldırgan tarafından ele geçirilmesi için özel hazırlanmış bir URL’ye tıklaması gerekecek. Bir saldırgan, kurbanı kandırmak amacıyla kötü amaçlı bir bağlantıyı, uygulamayı veya dosyayı meşru bir bağlantı veya dosya olarak gizleyecek şekilde manipüle edebilir.”
Güvenlik açığı, Microsoft tarafından, kimlik doğrulaması için OAuth 2.0 kullanan yeni oluşturulan özel bağlayıcıların otomatik olarak bağlayıcı başına yeniden yönlendirme URI’sine sahip olması sağlanarak giderilmiştir.
Ancak Microsoft, yöneticilerin 17 Şubat 2024’ten önce mevcut özel OAuth 2.0 bağlayıcılarını güncelleyerek açığı tamamen kapatmaları gerektiğini ileri sürdü. “Bağlayıcı başına yönlendirme URI’sini kullanacak şekilde güncellenmemiş herhangi bir özel bağlayıcı, yeni bağlantılar için çalışmayı durduracak ve kullanıcıya bir hata mesajı gösterecektir.”
Microsoft ayrıca, bazı AMD işlemci modellerinde gizlilik kaybına yol açabilecek bir kusur olan CVE-2023-20588’i (bir Windows güncellemesi gerektiriyordu) ve Windows Cloud Files Mini’deki bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2023-36696’yı da düzeltti. Filtre sürücüsü.
Narang, Help Net Security’ye şunları söyledi: “Bir saldırgan, SİSTEM ayrıcalıklarını yükseltmek için uzlaşma sonrası bir parçası olarak bu güvenlik açığından yararlanabilir.”
“Bu, 2023’te bu sürücüde keşfedilen altıncı ayrıcalık yükselmesi güvenlik açığıdır. Geçen ay Microsoft, aynı sürücüde sıfır gün olarak istismar edilen ayrı bir ayrıcalık yükseltme kusuru olan CVE-2023-36036’yı yamaladı.”