Microsoft, aylık Yama Salı güncellemesini yayınladı, ancak son formdan farklı olarak herhangi bir yeni sıfır günü ortaya çıkarmış gibi görünmüyor ve şüphesiz diğer konularla meşgul olan güvenlik ekiplerini rahatlatıyor.
Bununla birlikte, Haziran güncellemesi toplam 85 güvenlik açığı için düzeltmeler içerdiğinden, dikkate değer hiçbir sorun olmadığı anlamına gelmez; Ivanti güvenlik ürünleri başkan yardımcısı Chris Goettl’in açıkladığı gibi düşüş.
Goettl, bu ay güvenlik ekipleri için özellikle dikkat edilmesi gereken bir noktanın, aşamalı bir süreçte piyasaya sürülen Windows Kerberos ve Netlogon ile ilgili devam eden bir dizi güvenlik güncellemesi olduğunu söyledi.
Windows Kerberos güncellemesi, Kasım 2022’de açıklanan bir güvenlik atlama güvenlik açığı olan CVE-2022-37967 ile ilgilidir. O zamandan beri, Kerberos PAC arabelleğine ayrıcalıklı öznitelik sertifikası (PAC) imzaları ekleyen ilk güncelleme olmak üzere iki güncelleme yapıldı. ve ikincisi, tüm cihazları varsayılan olarak Denetim moduna sokmak, ancak yine de kimlik doğrulamaya izin vermek. En son güncelleme, PAC imza ekleme özelliğini devre dışı bırakma özelliğini kaldırıyor ve Temmuz ve Ekim aylarında daha fazla politika değişikliği bekleniyor.
Netlogon güncellemesi, yine Kasım 2022’den itibaren bir ayrıcalık yükseltme (EoP) kusuru olan CVE-2022-38023 ile ilgilidir. Bu güvenlik açığı için ilk yama, uzaktan prosedür çağrısı (RPC) sızdırmazlığını devre dışı bırakma özelliğini kaldıran varsayılan bir uyumluluk modu uygulamıştır. Bir yönetici aksini açıkça yapılandırmadıysa, bunu zorunlu kılmak için yapılan son hamleler varsayılan olacaktır. Başka bir politika değişikliği Temmuz ayında yapılacak.
Goettl, “Microsoft, Kerberos ve Netlogon’daki değişikliklerin, yakın ve uzun vadeli operasyonel etkilerden kaçınmanızı sağlamak için bazı ek araştırma ve testler gerektirecek aşamalarını ilerletiyor” dedi.
Goettl ayrıca diğer iki güvenlik açığı için belgelerdeki değişiklikleri işaretledi. İlki, Windows SmartScreen’de Mart 2023’ten kalma bir güvenlik baypas hatası olan CVE-2023-24880, kötüye kullanımı onaylıyor ve savunucuların önceliklendirilmesinde göz önünde bulundurulması gereken CVSS puanını güncelliyor.
CVE-2021-34527’ye yapılan ikinci değişiklik, yalnızca güvenlik açığı bulunan Windows sürümlerinin listesini günceller, ancak bazılarının ilgisini çekecektir. “CVE-2021-34527, Windows Yazdırma Biriktiricisinde uzaktan kod yürütülmesine izin verebilecek bir güvenlik açığıdır. Evet, bu, PrintNightmare olarak bilinen, geçmişten gelen bir patlama,” dedi Goettl.
Exchange güvenlik açıkları: Her zaman popüler bir seçim
Başka yerlerde, Microsoft Exchange Server’daki iki RCE güvenlik açığı – CVE-2023-32031 ve CVE-2023-28310 – ayrıca yakından ilgilenilmesi gerekiyor.
Bu güvenlik açıklarından ilki, kötü niyetli bir aktörün bir ağ çağrısı yoluyla Exchange Server hesabı bağlamında kod tetiklemesine olanak tanır. İkincisi, PowerShell aracılığıyla kod yürütmelerini sağlar. Her iki durumda da, saldırı karmaşıklığı düşük kabul edilir ve kullanıcı etkileşimi gerekmez.
Bu kusurların hiçbiri kamuya açıklanmamış veya vahşi ortamda istismar edildiği bilinmese de, Exchange Sunucusu hataları özellikle “sofistike” türde bir siber suçluyu cezbeder, bu nedenle çok uzun süre oyalanmaya bırakılmamalıdır.
Immersive Labs siber tehdit araştırma direktörü Kev Breen, “Bu güvenlik açıkları, ProxyNotShell istismarlarının bir parçası olarak tanımlanan güvenlik açıklarını yakından yansıttıkları için göze çarpıyor” dedi.
Breen, bu güvenlik açıklarının, bir ana bilgisayara erişim elde etmek için hedef odaklı kimlik avı ile sosyal mühendislik saldırıları yoluyla büyük olasılıkla kullanılacağını söyledi.
“Eğer bir saldırgan bir Exchange Server’a bu düzeyde bir erişim elde edebilseydi [they] Bir örgüte çok zarar verebilir” dedi.
“Gönderilen ve alınan her e-postayı okumak için erişim elde etme ve hatta herhangi bir kullanıcıyı taklit etme yeteneği ile bu, iş e-postası ele geçirme (BEC) saldırılarının artık sahte hesaplardan değil, finansal olarak motive olmuş suçlular için avantajlı olabilir. yasal e-posta sahibi.”
Kritik hatalar hala acıtabilir
Haziran Yaması Salı güncellemesi, CVE numarası sırasına göre toplam altı kritik güvenlik açığı içerir:
- CVE-2023-24897, .NET, .NET Framework ve Visual Studio’da bir uzaktan kod yürütme (RCE) güvenlik açığı;
- CVE-2023-29357, Microsoft SharePoint Server’daki bir EoP güvenlik açığı;
- CVE-2023-29363, Windows Pragmatic General Multicast’teki (PGM) bir RCE güvenlik açığı;
- CVE-2023-32013, Windows Hyper-V’de bir hizmet reddi (DoS) güvenlik açığı;
- Windows PGM’de ikinci bir RCE güvenlik açığı olan CVE-2023-32014;
- CVE-2023-32015, Windows PGM’deki üçüncü bir RCE güvenlik açığı.
Rapid7 baş yazılım mühendisi Adam Barnett, bunun Microsoft’un Windows PGM’deki RCE güvenlik açıklarını düzelttiği tırısta üçüncü ay olduğunu belirtti. Microsoft henüz bunlardan herhangi biri için ifşanın suistimal edildiğini tespit etmemiş olsa da, yüksek CVSS taban puanları büyük olasılıkla kısa sürede yanlış türden dikkatleri çekecektir.
Barnett, “PGM açısından kritik öneme sahip üç RCE’nin tümü, bir saldırganın hedef varlık üzerinde kötü amaçlı kod yürütme umuduyla ağ üzerinden özel olarak hazırlanmış bir dosya göndermesini gerektirir” dedi.
“Geçen ayın PGM güvenlik açıkları yığınında başarılı bir şekilde gezinen savunucular, hem risk profilini hem de hafifletme/düzeltme rehberliğini çok benzer bulacaklar; CVE-2023-29363, Microsoft’a geçen ayki CVE-2023-28250 ile aynı araştırmacı tarafından bildirildi” dedi.
“Önceki benzer güvenlik açıklarında olduğu gibi, yalnızca Windows Message Queuing Service’in (MSMQ) etkinleştirildiği sistemler kullanılabilir ve varsayılan olarak etkin değildir.”
Bununla birlikte, Rapid7 araştırmacılarının daha önce belirttiği gibi, aralarında Microsoft Exchange’in de bulunduğu çok sayıda uygulama, yükleme rutinleri sırasında MSMQ’yu tanıtır. Barnett, bu alanda aktif olan çok sayıda üretken araştırmacıyla, daha fazla PGM güvenlik açığının gelecekte neredeyse kesinlikle borudan aşağıya doğru ilerleyeceğini söyledi.
Bu arada, Barnett, özellikle SharePoint 2016 çalıştırılıyorsa, saldırganların doğru belirteçleri taklit etmeleri koşuluyla SharePoint ana bilgisayarında yönetici hakları elde etmede kısa süre kalmalarına neden olan SharePoint’teki EoP kusurunun da hızla ele alınması gerektiğini söyledi.
“Yazma sırasında, Microsoft’un danışma belgesiyle birlikte sağlanan SSS, hem SharePoint Enterprise Server 2016 hem de SharePoint Server 2019’un güvenlik açığı olduğunu öne sürüyor, ancak ne danışma belgesi ne de SharePoint 2016 Sürüm geçmişi, SharePoint 2016 için herhangi bir ilgili yama listelemiyor. SharePoint 2016’dan sorumlu savunucular, Hiç şüphe yok ki acil bir mesele olarak bunu takip etmek istiyorum” dedi.
Son olarak, bir saldırganın kurbanı genellikle bir web sitesinden özel olarak hazırlanmış kötü amaçlı bir dosyayı açmaya ikna etmesini gerektiren .NET vb.’deki RCE güvenlik açığı da dikkatleri çekmelidir.
“Microsoft’un kamuya ifşa veya vahşi ortamda sömürü hakkında bilgisi olmamasına ve sömürünün daha az olası olduğunu düşünmesine rağmen, Windows 10 1607’deki .NET Framework 3.5’e kadar uzanan uzun yama listesi, bu güvenlik açığının yıllardır mevcut olduğu anlamına gelir. dedi.