Microsoft, 2023’ün sondan bir önceki Salı Yaması’nda toplam beş sıfır gün güvenlik açığı için düzeltmeler yayınladı; bunlardan üçünün zaten vahşi ortamda istismar edildiği biliniyor.
Bu ay toplamda 60’ın biraz üzerinde sorunun çözüldüğü göz önüne alındığında, Kasım Yaması Salı günü gerçekleşen düşüş hiçbir şekilde son ayların en büyüğü değil ve normalde görülenden daha az sayıda ürünü kapsıyor.
İstismar edilen üç sıfır gün, Windows SmartScreen’deki bir güvenlik özelliği olan CVE-2023-36025 olarak izlenir; CVE-2023-36033, Windows DWM Çekirdek Kitaplığı’ndaki bir ayrıcalık yükselmesi (EoP) güvenlik açığı; ve Windows Bulut Dosyaları Mini Filtre Sürücüsünde bir EoP güvenlik açığı olan CVE-2023-36036. Bunlardan ikincisi için bir istismar kamuya açıklandı ve üçü de şimdiden CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları listesine girdi.
Kamuya açıklanan ancak henüz kullanılmayan diğer iki sıfır gün, ASP.NET Core’daki bir hizmet reddi güvenlik açığı olan CVE-2023-36038 ve Microsoft Office’teki bir güvenlik özelliği atlaması olan CVE-2023-36413’tür.
Beş kişiden dördü 7’nin üzerinde CVSS puanı taşıyor, bu da onları bu ölçüme göre yüksek önem derecesine sahip kılıyor; Microsoft Office sorunu ise 6,5 gibi daha düşük bir puan taşıyor, bu da sorunun yüksek önem derecesine sahip olduğu anlamına geliyor.
Ayrıca henüz hiçbiri açıklanmamış ya da istismar edilmemiş olmasına rağmen üç kritik hata da mevcut. Bunlar, Azure CLI Rest Komutu’ndaki bir bilginin açığa çıkması güvenlik açığı olan CVE-2023-36052 olarak izlenir; CVE-2023-36397 Windows Pragmatik Genel Çok Noktaya Yayında bir uzaktan kod yürütme (RCE) güvenlik açığı; ve Windows HMAC Anahtar Türetme’deki bir EoP güvenlik açığı olan CVE-2023-36400.
Rapid7 baş yazılım mühendisi Adam Barnett, istismar edilen sıfır günlere göz gezdirerek şunları söyledi: “CVE-2023-36025, Windows SmartScreen güvenlik özelliğinin atlanmasını tanımlıyor. Kullanıcıyı özel hazırlanmış kötü amaçlı bir İnternet Kısayol dosyasını açmaya ikna eden bir saldırgan, Windows SmartScreen tarafından sağlanan kimlik avı ve kötü amaçlı yazılımlara karşı korumayı atlayabilir. Bu, daha karmaşık bir saldırı zincirinin erken aşaması olarak kötüye kullanılabilir.
“İlk olarak Windows Vista’da tanıtılan Windows Dinamik Pencere Yöneticisi (DWM), kullanıcıların bir Windows işletim sisteminden beklediği birçok modern kullanıcı arayüzü özelliğini etkinleştiriyor. Bu ay DWM Çekirdek Kitaplığı, CVE-2023-36033 için bir düzeltme eki aldı… Suistimal, sistem ayrıcalıklarına yol açar, ancak Microsoft, saldırı mekanizması hakkında daha fazla rehberlik sağlamaz.”
Açıklardan yararlanılan üçüncü güvenlik açığı olan CVE-2023-36035 hakkında daha az ayrıntı bu aşamada biliniyor; ancak bu güvenlik açığı da saldırgana sistem düzeyinde ayrıcalıklar veriyor; bu, saldırganların güvenlik araçlarını devre dışı bırakmak veya kimlik bilgileri dökümü gerçekleştirmek için kullandıkları yolda sıklıkla görülen bir adımdır. Mimikatz gibi araçlar yanal hareketin hizmetindedir.
Action1’in kurucu ortağı ve başkanı Mike Walters, diğer sıfır günlere bakarak şu yorumu yaptı: “CVE-2023-36038, ASP.NET Core’da hizmet reddine neden olabilecek önemli bir güvenlik açığını temsil ediyor. Bu güvenlik açığı, ağ saldırı vektörü, düşük saldırı karmaşıklığı ve istismar için herhangi bir ayrıcalık veya kullanıcı etkileşimi gerektirmemesi nedeniyle dikkat çekicidir.
“Güvenlik açığı, IIS InProcess barındırma modelinde çalışan .NET 8 RC 1’e yönelik HTTP istekleri iptal edildiğinde tetiklenebilir. Bu, iş parçacığı sayısının artmasına neden olabilir ve potansiyel olarak OutOfMemoryException’a neden olabilir. Bu güvenlik açığından başarıyla yararlanılması, hizmet kullanılabilirliğinin tamamen kaybolmasına neden olabilir.
Waters, savunmasız kütüphaneyi çalıştıran web sitelerinde kesinti riski nedeniyle bu sorunun listede üst sıralarda yer alması gerektiğini ve bunun sonucunda kolayca dağıtılmış hizmet reddi (DDoS) saldırısına maruz kalabileceğini söyledi.
CVE-2023-36413’ün yüksek istismar potansiyeli nedeniyle kısa sürede büyük bir sorun haline gelebileceğini açıkladı: “Bir ağ saldırı vektörüne sahip ve düşük saldırı karmaşıklığıyla karakterize ediliyor. Üst düzey ayrıcalıklar gerektirmese de, istismar için kullanıcı etkileşimi gereklidir.
“Bu güvenlik açığının önemli bir yönü, saldırganların Office’in korumalı görünümünü atlatmasına olanak tanıması ve belgelerin daha güvenli korumalı mod yerine düzenleme modunda açılmasına neden olmasıdır. Her ne kadar Microsoft bir kavram kanıtının varlığını doğrulamış olsa da şu anda bu güvenlik açığının vahşi ortamda istismar edildiğine dair somut bir kanıt bulunmuyor. Güvenlik açığının potansiyel etkisine ilişkin bu incelikli anlayış, güvenlik önlemlerini önceliklendirmek için çok önemli” dedi Walters.
PEAP sorununu gözetleyin
Başka yerlerde, diğer gözlemciler bu ay yamalanan ve sıfır gün haline gelmek için çok önemli kriterleri karşılamayan diğer bazı daha tehlikeli sorunlara dikkat çekiyorlar.
Immersive Labs’ın baş siber güvenlik içerik mühendisi Natalia Silva’nın gözü, kablosuz ağlarda güvenli bir kimlik doğrulama çerçevesi olarak kullanılan Microsoft Korumalı Genişletilebilir Kimlik Doğrulama Protokolü’ndeki (PEAP) bir RCE kusuru olan CVE-2023-36028 oldu. Bu, 9,8’lik bir CVSS puanı taşıyor ve bu da durumu olabildiğince kritik hale getiriyor.
“Bu güvenlik açığından, kimliği doğrulanmamış bir saldırgan, özel hazırlanmış kötü amaçlı PEAP paketlerini ağ üzerinden ileterek Microsoft PEAP Sunucusunu hedef alarak yararlanabilir. Bu, saldırganın bu saldırıyı başlatmadan önce herhangi bir kimlik bilgilerine veya kimlik doğrulamasına ihtiyacı olmadığı anlamına geliyor” diye açıkladı Silva.
“Saldırganın istismarı başarılı olursa saldırgan, hedeflenen PEAP sunucusunda kod çalıştırabilir. İkincil etki ise verilere yetkisiz erişim, verilerin manipülasyonu veya diğer kötü niyetli eylemler olabilir.
“CVE-2023-36028’e 9,8 gibi yüksek bir CVSS puanı atandı. Ancak Microsoft’un istismar değerlendirmesi, istismar olasılığının daha düşük olduğu yönünde. Bunun nedeni, sömürünün karmaşıklığı ve konuşlandırılan PEAP’ı bulma sıklığının bir kombinasyonu olabilir” diye ekledi.
Tarihsel olarak Salı Yaması’nda da Exchange yüzeyinde en az bir RCE kusuru görülüyor ve Kasım 2023 de bu eğilimin bir istisnası değil. Exchange sunucusu ana bilgisayarında sistem düzeyinde yürütme ayrıcalıkları veren CVE-2023-36439’u bir adım öne çıkarın.
Immersive’in kıdemli tehdit araştırma direktörü Kev Breen, “Yama notları, saldırganın kimliğinin doğrulanmış ve ağda yerel olması gerektiğini gösteriyor; bu da saldırganın zaten ağdaki bir ana bilgisayara erişim kazanmış olması gerektiği anlamına geliyor” dedi.
“Bu genellikle, diğer savunmasız dahili hedefleri aramadan önce bir ana bilgisayara ilk erişim elde etmek için hedef odaklı kimlik avı ile sosyal mühendislik saldırıları yoluyla gerçekleştirilir; Exchange Sunucunuzun internete yönelik kimlik doğrulamasının olmaması, korunduğu anlamına gelmez.
“Eğer bir saldırgan bir değişim sunucusuna bu düzeyde erişim elde ederse, kuruluşa büyük zarar verebilir” diye gözlemledi.
Exchange platformu aynı zamanda CVE-2023-36035, CVE-2023-36039 ve CVE-2023-36050 olarak takip edilen üç sunucu sahtekarlığı güvenlik açığıyla da kuşatılmıştır; bunların tümü saldırganın yerel ağa zaten erişmiş olmasını ve geçerli kimlik bilgilerine sahip olmasını gerektirir. ancak sonuçta diğer kullanıcıların kimlik bilgilerinin veya NTLM karmalarının açığa çıkmasına neden olabilir. RCE hatasıyla birlikte ele alındığında Breen, bunların Exchange Server’ı şirket içinde çalıştıran herkesin öncelik listesinde üst sıralarda yer alması gerektiğini söyledi.