ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), Microsoft’un .NET ve Visual Studio ürünlerinde yakın zamanda yamalanan bir güvenlik açığını, aktif istismara ilişkin kanıtlara atıfta bulunarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
CVE-2023-38180 (CVSS puanı: 7,5) olarak izlenen yüksek önem dereceli kusur, .NET ve Visual Studio’yu etkileyen bir hizmet reddi (DoS) vakasıyla ilgilidir.
Microsoft tarafından, bu haftanın başlarında gönderilen Ağustos 2023 Salı Yaması güncellemelerinin bir parçası olarak ele alındı ve “Sömürü Daha Muhtemel” değerlendirmesiyle etiketlendi.
Sömürünün doğasını çevreleyen kesin ayrıntılar belirsiz olsa da, Windows üreticisi, danışma belgesinde bir kavram kanıtının (PoC) varlığını kabul etti. Ayrıca, kusurdan yararlanan saldırıların herhangi bir ek ayrıcalık veya kullanıcı etkileşimi olmadan çekilebileceğini de söyledi.
Şirket, “Kavram kanıtı istismar kodu mevcuttur veya çoğu sistem için bir saldırı gösterimi pratik değildir” dedi. “Kod veya teknik her durumda işlevsel değildir ve yetenekli bir saldırgan tarafından önemli ölçüde değişiklik yapılmasını gerektirebilir.”
Yazılımın etkilenen sürümleri arasında ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 sürüm 17.2, Microsoft Visual Studio 2022 sürüm 17.4 ve Microsoft Visual Studio 2022 sürüm 17.6 yer alır.
CISA, olası riskleri azaltmak için Federal Sivil Yürütme Şubesi (FCEB) kurumlarının güvenlik açığı için satıcı tarafından sağlanan düzeltmeleri 30 Ağustos 2023’e kadar uygulamasını tavsiye etti.