Microsoft, Kasım 2023 ayı için yazılımındaki 63 güvenlik hatasını giderecek düzeltmeler yayımladı; bunların arasında aktif olarak istismar edilen üç güvenlik açığı da var.
63 kusurdan üçü Kritik, 56’sı Önemli ve dördü Orta şiddette olarak derecelendirildi. Bunlardan ikisi, yayınlandığı tarihte kamuya açık olarak listelenmişti.
Güncellemeler, Ekim 2023 için Patch Tuesday güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında giderilen 35’ten fazla güvenlik açığına ek olarak geliyor.
Dikkate alınan beş sıfır gün aşağıdaki gibidir:
- CVE-2023-36025 (CVSS puanı: 8,8) – Windows SmartScreen Güvenlik Özelliği Güvenlik Açıklarını Atlıyor
- CVE-2023-36033 (CVSS puanı: 7,8) – Windows DWM Çekirdek Kitaplığı’nda Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36036 (CVSS puanı: 7,8) – Windows Cloud Files Mini Filtre Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36038 (CVSS puanı: 8,2) – ASP.NET Çekirdekte Hizmet Reddi Güvenlik Açığı
- CVE-2023-36413 (CVSS puanı: 6,5) – Microsoft Office Güvenlik Özelliğinde Güvenlik Açığı Atlama
Hem CVE-2023-36033 hem de CVE-2023-36036, bir saldırgan tarafından SİSTEM ayrıcalıkları kazanmak için kullanılabilir; CVE-2023-36025 ise Windows Defender SmartScreen kontrollerini ve bunlarla ilişkili istemleri atlamayı mümkün kılabilir.
Microsoft, CVE-2023-36025 hakkında şunları söyledi: “Kullanıcının, saldırgan tarafından tehlikeye atılacak bir İnternet Kısayolu dosyasına işaret eden özel hazırlanmış bir İnternet Kısayoluna (.URL) veya köprüye tıklaması gerekir.”
Ancak Windows üreticisi, kullanılan saldırı mekanizmaları ve bunları silah haline getirebilecek tehdit aktörleri hakkında daha fazla rehberlik sağlamadı. Ancak ayrıcalık yükseltme kusurlarının aktif olarak kullanılması, bunların muhtemelen bir uzaktan kod yürütme hatasıyla birlikte kullanıldığını gösteriyor.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “Son iki yılda DWM Çekirdek Kütüphanesinde 12 ayrıcalık yükselmesi güvenlik açığı yaşandı, ancak bu, sıfır gün olarak vahşi ortamda istismar edilen ilk güvenlik açığı.” dedi. The Hacker News ile paylaşılan bir açıklamada.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bu üç sorunu Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesine yol açarak federal kurumları düzeltmeleri 5 Aralık 2023’e kadar uygulamaya davet etti.
Microsoft tarafından ayrıca, Korumalı Genişletilebilir Kimlik Doğrulama Protokolü ve Pragmatik Genel Çoklu Yayın’da (CVE-2023-36028 ve CVE-2023-36397, CVSS puanları: 9,8) bir tehdit aktörünün kötü amaçlı yazılımların yürütülmesini tetiklemek için kullanabileceği iki kritik uzaktan kod yürütme hatası da yamalanmıştır. kod.
Kasım güncelleştirmesi ayrıca CVE-2023-38545 (CVSS puanı: 9,8) için bir düzeltme eki, geçen ay ortaya çıkan curl kitaplığında kritik bir yığın tabanlı arabellek taşması kusurunun yanı sıra Azure CLI’de bir bilginin açığa çıkması güvenlik açığını da içeriyor ( CVE-2023-36052, CVSS puanı: 8,6).
Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etkilenen CLI komutları tarafından oluşturulan ve Azure DevOps ve/veya GitHub Actions tarafından yayınlanan günlük dosyalarından düz metin şifreleri ve kullanıcı adlarını kurtarabilir” dedi.
Sorunu bildiren Palo Alto Networks araştırmacısı Aviad Hahami, güvenlik açığının boru hattının günlüğünde saklanan kimlik bilgilerine erişime olanak sağlayabileceğini ve bir saldırganın sonraki saldırılar için potansiyel olarak ayrıcalıklarını artırmasına izin verebileceğini söyledi.
Buna yanıt olarak Microsoft, Azure CLI’yi (sürüm 2.54) sırların açığa çıkmasına yol açabilecek yanlışlıkla kullanıma karşı güçlendirmek için çeşitli Azure CLI komutlarında değişiklikler yaptığını söyledi.
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: