Microsoft, saldırganların şu anda vahşi ortamda aktif olarak istismar ettiği üç sıfır gün hatası için düzeltmeler yayınladı.
Bunlardan biri, CVE-2023-21715 olarak izlenen, Microsoft Office’teki bir güvenlik özelliği baypas güvenlik açığıdır ve saldırganlara, güvenilmeyen dosya ve içeriği engellemek için Office makro ilkelerini atlamanın bir yolunu sunar. İkincisi, Windows Ortak Günlük Dosyası Sistemi Sürücüsünde (CVE-2023-23376) bir saldırganın sistem düzeyinde ayrıcalıklar kazanmasına olanak tanıyan bir ayrıcalık yükselmesi güvenlik açığıdır. Üçüncüsü, Windows Grafik Bileşeninde bir saldırganın sistem düzeyinde erişim elde etmesini de sağlayan bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-21823’tür.
Sıfır Gün Üçlüsü
Üç sıfır gün güvenlik açığı, Microsoft’un Salı günü yaptığı aylık güvenlik güncellemesinde ifşa ettiği çok daha büyük bir 78 yeni CVE grubunun parçasıydı. Şirket, bu kusurlardan dokuzunu “kritik” önem derecesinde ve 66’sını kuruluşlar için “önemli” bir tehdit olarak değerlendirdi.
Microsoft’un bu ay açıkladığı güvenlik açıklarının yaklaşık yarısı (38), güvenlik araştırmacılarının özellikle ciddi olarak değerlendirdiği bir kusur kategorisi olan uzaktan kod yürütme (RCE) hatalarıydı. Ayrıcalık yükselmesi hataları, bir sonraki en yüksek kategoriyi temsil ederken, onu hizmet reddi kusurları ve sahtecilik güvenlik açıkları izledi.
Bu ayki güncellemede güvenlik açıklarından sekizini bildiren Trend Micro’nun ZDI tehdit farkındalığı başkanı Dustin Childs, aktif saldırı altındaki tüm hataların kritik bir risk oluşturduğunu çünkü tehdit aktörlerinin zaten bunları kullandığını söylüyor.
“Grafik Bileşeni hatası (CVE-2023-21823) beni iki hesapta endişelendiriyor” diyor. Childs, “Bu, Mandiant tarafından bulunduğuna göre, büyük olasılıkla olay müdahalesi üzerinde çalışan bir ekip tarafından keşfedilmiştir” diyor. Bu, tehdit aktörlerinin onu ne kadar süredir kullanıyor olabileceği belirsiz olduğu anlamına geliyor. Ayrıca, güncellemenin Microsoft mağazası aracılığıyla edinilebilir olması da endişe verici.
“Mağazayla bağlantısı kesilen veya başka bir şekilde engellenen kişilerin güncellemeyi manuel olarak uygulamaları gerekecek” diyor.
Childs, Microsoft’un CVE-2023-21715 açıklamasına göre, Microsoft Office’teki güvenlik özelliği atlama güvenlik açığının daha çok bir ayrıcalık yükselmesi sorunu gibi göründüğünü söylüyor. “Bir güvenlik özelliğinin atlanıp kötüye kullanılması her zaman endişe vericidir. Umarız düzeltme sorunu kapsamlı bir şekilde çözer.”
Sonuç olarak, saldırganların aktif olarak istismar ettiği üç hata da endişe vericidir. Ancak Childs, bir tehdit aktörünün sistemi ele geçirmek için bu hataların her birini bir tür kod yürütme hatasıyla birlikte kullanması gerektiğini söylüyor.
Automox, Kuruluşlar için Microsoft 365 Uygulamaları CVE-2023-2175 yamasını 24 saat içinde kullanan kuruluşların tavsiye eder. Automox bir blog gönderisinde, “Bu güvenlik açığı, saldırganların Office güvenlik özelliklerini atlamak için bir dosya oluşturmasına olanak tanıyan, aktif olarak yararlanılan bir sıfır-gündür” dedi. Saldırganların, “kullanıcıları sosyal mühendislik yoluyla savunmasız cihazlarda dosya indirmeye ve açmaya zorlayabilirlerse, potansiyel olarak son kullanıcı cihazlarında kötü amaçlı kod yürütmelerine” olanak tanır.
Yeni Exchange Server Tehditleri
Tenable’da kıdemli personel araştırma mühendisi olan Satnam Narang, Microsoft’un bunları saldırganların açıkları olarak tanımladığı için kuruluşların dikkat etmesi gereken üç Microsoft Exchange Server güvenlik açığını (CVE-2023-21706, CVE-2023-21707, CVE-2023-21529) vurguladı. yararlanma olasılığı daha yüksektir.
Narang yaptığı açıklamada, “Son birkaç yılda, dünyanın dört bir yanındaki Microsoft Exchange Sunucuları, ProxyLogon’dan ProxyShell’e ve daha yakın zamanda ProxyNotShell, OWASSRF ve TabeShell’e kadar çok sayıda güvenlik açığı tarafından ezildi.”
Son yıllarda takas kusurlarının standart sponsorlu tehdit aktörleri için değerli mallar haline geldiğini söyledi. “Microsoft Exchange Server’a güvenen kuruluşlara, Exchange Server için en son Toplu Güncelleştirmeleri uygulamış olduklarından emin olmalarını şiddetle tavsiye ediyoruz.”
Microsoft PEAP’te RCE Hataları
Bu arada Cisco’nun Talos tehdit istihbarat grubundaki araştırmacılar, Microsoft Korumalı Genişletilebilir Kimlik Doğrulama Protokolü’ndeki (PEAP) üç RCE hatasının Microsoft’un Şubat 2023 güvenlik güncelleştirmesindeki en kritik hatalar arasında olduğuna işaret etti.
CVE-2023-21689, CVE-2023-21690 ve CVE-2023-21692 olarak izlenen açıklar, kimliği doğrulanmış bir saldırganın sunucu hesabı bağlamında kötü amaçlı kod denemesine ve tetiklemesine olanak tanıyor.
Şirketten yapılan açıklamada, “En son Windows 11 dahil olmak üzere neredeyse tüm Windows sürümleri savunmasızdır” dedi.
CVE-2023-21689 — PEAP’deki üç kritik güvenlik açığından biri — Automox’a göre, saldırganların sunucu hesaplarını bir ağ araması yoluyla kötü amaçlı kod tetiklemesine olanak tanıyor.
Şirket gönderisinde, “Bu güvenlik açığının hedeflenmesi çok muhtemel olduğundan ve saldırganların yararlanması nispeten basit olduğundan, yama uygulamanızı veya PEAP’nin ağ politikanızda izin verilen bir EAP türü olarak yapılandırılmamasını sağlamanızı öneririz.” Automox’a göre, etkilenen kuruluşların – Ağ İlkesi Sunucusu’nun çalıştığı ve PEAP’a izin veren bir ilkesi olan Windows istemcileri olanların – kusuru 72 saat içinde düzeltmesi önerilir.