Microsoft’un Haziran 2023 Salı Yaması güvenlik güncelleştirmesi, ürün ve yazılım paketi genelinde 69 güvenlik açığı için yamalar içeriyor. Düzeltilen kusurlardan bazıları, başlangıçta bu yılın başlarında Vancouver’da düzenlenen Pwn2Own yarışması sırasında Zero Day Institute’a sunuldu.
Microsoft, bu ay düzelttiği hataların toplam altısını kritik önemde ve 62’sini önemli olarak belirledi. Sadece biri ciddiyet açısından orta olarak derecelendirilmiştir. Aylar sonra ilk kez Microsoft, halihazırda aktif saldırı altında olan sıfır gün güvenlik açıklarını açıklamadı.
Kritik Hatalar için Yamalara Öncelik Verme
Güvenlik güncelleştirmeleri, Microsoft Windows ve Windows Bileşenleri, Office ve Office Bileşenleri, Exchange Server, Microsoft Edge (Chromium), SharePoint Server, .NET ve Visual Studio, Microsoft Teams, Azure DevOps, Microsoft Dynamics ve Uzak Masaüstü İstemcisi’ndeki sorunları giderir.
Trend Micro Zero Day Initiative (ZDI) araştırmacısı Dustin Childs, Microsoft SharePoint Server’daki (CVE-2023-29357) kritik ayrıcalık yükselmesi güvenlik açığının, Pwn2Own yarışması sırasında başarılı bir açıktan yararlanmada birbirine zincirlenen hatalardan biri olduğunu yazdı. Blog yazısı. Saldırganlar, sahte JSON Web Simgesi (JWT) kimlik doğrulama belirteçleri kullanırlarsa, herhangi bir kullanıcı etkileşimi gerektirmeden SharePoint Sunucusunda yönetici ayrıcalıkları elde etme şansına sahip olurlar. Hem SharePoint Enterprise Server 2016 hem de SharePoint Server 2019 savunmasızdır.
Microsoft, şirket içi müşterilerin AMSI özelliğini etkinleştirmesini önerdi. Childs, ZDI ekibinin geçici çözümü henüz test etmediğini, ancak “en iyi bahisin güncellemeyi mümkün olan en kısa sürede test etmek ve dağıtmak olduğunu” söyledi.
Windows Pragmatic General Multicast (PGM) sunucu ortamındaki (CVE-2023-20363, CVE-2023-32014, CVE-2023-32015) üç uzaktan kod yürütme güvenlik açığının tümü aynı temel önem puanı olan 9,8’e sahiptir ve bu, Microsoft’un PGM’deki kritik önem derecesindeki kusurları ele aldığı üçüncü ay. Kimliği doğrulanmamış uzak bir saldırgan, ağ üzerinden özel hazırlanmış bir dosya gönderebilir ve Windows mesaj kuyruğu hizmetinin çalıştığı bir Windows PGM sunucu ortamında kötü amaçlı kod yürütebilir. PGM varsayılan olarak etkinleştirilmemiş olsa da, Windows’ta güvenilir çok noktaya yayın veri iletimi için kullanılan bir protokol olduğundan, birçok kuruluş ortamlarında PGM’ye sahiptir. PGM, video akışı ve çevrimiçi oyun gibi uygulamalarda yaygın olarak kullanılır.
Saldırganın kimliğinin doğrulanmasına gerek olmaması, bunu özellikle tehlikeli bir sorun haline getirir. Yöneticiler, geçici bir çözüm olarak, Message Queuing hizmetinin 1801 numaralı TCP bağlantı noktasında çalışıp çalışmadığını kontrol edebilir ve gerekli değilse devre dışı bırakabilir. Saldırganlar geçici çözümü atlatmanın yollarını bulabilecekleri ve yine de güvenlik açığından yararlanabilecekleri için, hafifletme önlemleri yama uygulama yerine geçmemelidir.
Önceliklendirilecek diğer iki kritik güvenlik açığı, .NET, .NET Framework ve Visual Studio’daki (CVE-2023-24897) uzaktan kod yürütme kusuru ve Windows Hyper-V’deki (CVE-2023-) hizmet reddi güvenlik açığıdır. 32013).
Sömürülmeye “Daha Muhtemel” Olanlara da Öncelik Verin
Microsoft’un istismar edilme olasılığının “daha yüksek” olduğunu düşündüğü için, araştırmacıların önceliklendirmeyi önerdiği birkaç güvenlik açığı vardır. Microsoft Exchange Server’daki (CVE-2023-28310) uzaktan kod yürütme güvenlik açığı, Exchange Server ile aynı intranette kimliği doğrulanmış bir saldırganın, rastgele kod yürütmek için bir PowerShell uzak oturumu başlatmasına olanak tanır.
Exchange’deki başka bir uzaktan kod yürütme güvenlik açığı (CVE-2023-32031), Exchange sunucusundaki kimliği doğrulanmış saldırganların SİSTEM ayrıcalıklarıyla kötü amaçlı kod yürütmesine izin verebilir. Bu güvenlik açığı, daha önce düzeltilen iki güvenlik açığının atlanmasıdır (CVE-2022-41082, geçen Eylül ayında açıklanan ve Kasım ayında yamalanan bir sıfır gün hatasıydı ve CVE-2023-21529, Şubat ayında yamalandı). Bu kusurdan başarıyla yararlanılması SİSTEM ayrıcalıkları kazanabilse de, saldırganın Exchange sunucusunda zaten bir hesabı olması gerektiğinden bu kritik öneme sahip bir kusur değildir. CVE-2022-41082 (şimdiki değeri) Exchange Server’daki iki sözde “ProxyNotShell” kusurundan biri ve geçmişte fidye yazılımı saldırılarında kullanıldı.
Saldırganlar, kimlik bilgilerini çaldıkları veya ağda yükseltilmiş ayrıcalıklar elde ettikleri daha büyük bir kampanyanın parçası olarak bu kusurları zincirleyebildikleri için, kuruluşların her iki Exchange güvenlik açığını düzeltmeye öncelik vermesi gerekir.
Biri Windows grafik aygıtı arabiriminde (GDI) ve diğeri Windows Win32k çekirdek sürücüsünde olmak üzere iki ayrıcalık yükselmesi güvenlik açığı, saldırganların SİSTEM ayrıcalıkları kazanmasına olanak tanır.