Son zamanlarda olduğundan çok daha hafif bir Salı Yaması’nda, Windows Güvenli Önyükleme güvenlik özelliğinde genel olarak açıklanan ve aktif olarak yararlanılan bir sıfır gün güvenlik açığı, yöneticiler ve güvenlik ekipleri için süregelen bir baş ağrısına neden olacak gibi görünüyor.
CVE-2023-24932 olarak izlenen – ve Microsoft’un Mayıs Salı Yaması sürümünde istismar edilen iki sıfır günden biri – ESET’ten Martin Smolár ve SentinelOne’dan Tomer Sne-or’a atfedilen bu güvenlik özelliği baypas güvenlik açığından başarıyla yararlanılması özellikle tehlikeli kabul ediliyor.
Bunun nedeni, kötü niyetli aktör tarafından birleşik genişletilebilir üretici yazılımı arabirimi (UEFI) düzeyinde imzalanan kodu çalıştırmak için BlackLotus olarak bilinen bir önyükleme seti ile birlikte kullanıldığında, işletim sisteminden (OS) önce çalışacak ve böylece saldırganın güvenliği devre dışı bırakabilmesidir. korumalar daha da fazla zarar vermek için.
Ivanti güvenlik ürünleri yönetimi başkan yardımcısı Chris Goettl, “CVE, Microsoft’un değerlendirme algoritmaları tarafından ‘önemli’ olarak derecelendirildi, ancak onaylanan açıklardan yararlanma ile bu önem derecesini göz ardı edebilir ve gerçek dünya risk göstergelerine yanıt verebilirsiniz” dedi.
“Güvenlik açığı, saldırganın hedef sistemde ya fiziksel erişime ya da yönetici izinlerine sahip olmasını gerektirir; bu izinlerle, sistemden daha fazla ödün vermek için Güvenli Önyüklemeyi atlayabilecek etkilenen bir önyükleme politikası yükleyebilirler. Güvenlik açığı, Windows işletim sisteminin şu anda desteklenen tüm sürümlerini etkiliyor” dedi.
Microsoft, mevcut sürümde CVE-2023-24932 düzeltmesi sağlanmış olsa da, varsayılan olarak devre dışı bırakıldığını ve henüz tam koruma sağlamayacağını, yani müşterilerin önyüklenebilir medyayı güncellemek ve öncesinde iptalleri uygulamak için manuel bir sıra izlemesi gerekeceğini söyledi. güncellemeyi etkinleştirir.
Bu amaçla, ilk sürümün ilki olduğu üç aşamalı bir yaklaşım izliyor. 11 Temmuz Salı Yaması, konuşlandırmayı basitleştirmek için ek güncelleme seçenekleri içeren ikinci bir sürüm görecek. Son olarak, Ocak ve Mart 2024 arasında bir son sürüm, düzeltmeyi varsayılan olarak etkinleştirecek ve tüm Windows cihazlarında Önyükleme Yöneticisi iptallerini zorunlu kılacaktır.
Microsoft’a göre, bu gereklidir çünkü Güvenli Önyükleme, sistem işletim sistemi ilk başlatıldığında yüklenebilen önyükleme medyasını çok hassas bir şekilde kontrol eder, bu nedenle güncelleme yanlış uygulanırsa daha fazla kesintiye neden olabilir ve sistemin başlamasını bile durdurabilir.
ABD’de TechTarget’a konuşan Goettl, bunun sancılı bir süreç olabileceğini ve bazılarının “çok uzun bir süre çıkmaza girme” ihtimaliyle karşı karşıya kalabileceğini söyledi.
sıfır gün
Bu ay çözülen diğer istismar edilen sıfır gün güvenlik açığı, Avast’tan Jan Vojtěšek, Milánek ve Luigino Camastra’ya atfedilen Win32k’deki bir ayrıcalık yükselmesi (EoP) güvenlik açığı olan CVE-2023-29336’dır, ancak aynı zamanda listede yüksek olan CVE- 2023-29325, Windows OLE’de ifşa edilmiş ancak henüz istismar edilmemiş, kritik düzeyde derecelendirilmiş bir uzaktan kod yürütme (RCE) güvenlik açığı, Vul Labs’tan Will Dormann’a aittir.
CVE-2023-29936, kullanıcı etkileşimi gerektirmez ve başarıyla kullanılması durumunda sistem düzeyinde ayrıcalıklar elde etmek için kullanılabilir. Windows 10 ve sonrasını ve Windows Server 2008’den 2016’ya kadar olan sürümleri etkiler.
Tenable kıdemli personel araştırma mühendisi Satnam Narang, “Bu, bir ayrıcalık yükselmesi güvenlik açığının sıfır gün olarak vahşi doğada istismar edildiği art arda beşinci aydır” dedi. “Kullanımıyla ilgili ayrıntıların, onu keşfeden araştırmacılar tarafından yakında kamuoyuna duyurulacağını tahmin ediyoruz.
“Ancak, bu kusurun bir yama baypası olup olmadığı belli değil. Tarihsel olarak, Win32k EoP güvenlik açıklarının sıfır gün olarak kullanıldığı üç ayrı örnek gördük” dedi. “Ocak 2022’de Microsoft, vahşi ortamda istismar edilen ve bildirildiğine göre CVE-2022-21882’yi yamaladı. CVE-2021-1732 için yama atlamaŞubat 2021’de yamalanan ve vahşi ortamda da istismar edilen. Ekim 2021’de Microsoft, CVE-2016-3309 için bir yama atlaması olan MysterySnail olarak bilinen bir uzaktan erişim truva atına bağlı olan ve CVE-2021-40449 olarak tanımlanan başka bir Win32k EoP’ye yama yaptı.
Narang, “Nispeten nadir olmakla birlikte, sıfır gün olarak istismar edilen ve aynı zamanda yama baypasları olan birden fazla Win32k EoP kusurunu gözlemlemek ilginçtir” dedi.
Bu arada CVE-2023-29325, kavram kanıtının mevcut olduğu kritik bir güvenlik açığıdır. Bir ağ saldırı vektörüne ve yüksek saldırı karmaşıklığına sahiptir ve bundan yararlanmak için özel ayrıcalıklar gerekmese de, kurbanın kötü niyetli bir e-postayı açması için kandırılması gerekir. Windows 10 ve Windows Server 2008 ve sonrasını etkiler.
Action1’in kurucu ortağı ve güvenlik açığı ve tehdit araştırmalarından sorumlu başkan yardımcısı Mike Walters, “Bir e-posta saldırısı senaryosunda, bir saldırgan kurbana özel hazırlanmış bir e-posta mesajı göndererek güvenlik açığından yararlanabilir” dedi.
“Kurban, e-postayı Microsoft Outlook’un etkilenen bir sürümüyle açabilir veya Outlook uygulamasında önizleyebilir, böylece saldırganın kurbanın bilgisayarında uzaktan kod yürütmesine izin verebilir.
“Microsoft, riski azaltmak için belirli önlemlerin alınmasını öneriyor. Microsoft Outlook’ta, bilinmeyen veya güvenilmeyen kaynaklardan gelen RTF dosyalarını işlerken dikkatli olunmalıdır. Diğer bir ihtiyati adım, e-posta mesajlarını Outlook’ta veya Grup İlkesi aracılığıyla yapılandırılabilen düz metin biçiminde okumaktır. Walters, düz metin formatının benimsenmesinin resimler, özel yazı tipleri ve animasyonlar gibi görsel unsurların kaybolmasına neden olabileceğini unutmamak önemlidir” dedi.
Mayıs düşüşündeki kalan kritik güvenlik açıkları, beş RCE güvenlik açığı ve bir EoP güvenlik açığından oluşuyor.
RCE güvenlik açıkları, CVE numara sırasına göre şunlardır:
- Windows Güvenli Yuva Tünel Protokolü’nde (SSTP) CVE-2023-24903.
- Windows Ağ Dosya Sisteminde CVE-2023-24941.
- Windows Pragmatik Genel Çok Noktaya Yayın’da (PGM) CVE-2023-24943.
- Microsoft SharePoint Server’da CVE-2023-24955.
- Ve Windows Basit Dizin Erişim Protokolü’nde (LDAP) CVE 2023-28283.
Windows MHTML Platformunda kritik EoP güvenlik açığı CVE-2023-29324’tür.