Salı günü Microsoft, vahşi doğada aktif olarak kullanıldığını söylediği altı sıfır gün kusuru da dahil olmak üzere, yazılımını kapsayan toplam 130 yeni güvenlik kusurunu gidermek için güncellemeler yayınladı.
130 güvenlik açığından dokuzu Kritik, 121’i ise Önem Derecesi olarak derecelendirildi. Bu, teknoloji devinin Chromium tabanlı Edge tarayıcısında geçen ayın sonuna doğru yamaladığı sekiz kusura ek olarak.
Aktif kullanım altına giren sorunların listesi aşağıdaki gibidir –
- CVE-2023-32046 (CVSS puanı: 7.8) – Windows MSHTML Platformunda Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-32049 (CVSS puanı: 8.8) – Windows SmartScreen Güvenlik Özelliğini Atlama Güvenlik Açığı
- CVE-2023-35311 (CVSS puanı: 8.8) – Microsoft Outlook Güvenlik Özelliği Güvenlik Açığı Atlama
- CVE-2023-36874 (CVSS puanı: 7.8) – Windows Hata Raporlama Hizmetinde Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36884 (CVSS puanı: 8.3) – Office ve Windows HTML Uzaktan Kod Yürütme Güvenlik Açığı (Sürüm sırasında da genel olarak biliniyordu)
- ADV230001 – İstismar sonrası etkinlik için Microsoft imzalı sürücülerin kötü amaçlı kullanımı (CVE atanmamış)
Windows üreticileri, BlackBerry’nin en son bulgularını yineleyerek, Ukrayna Dünya Kongresi ile ilgili özel hazırlanmış Microsoft Office belgelerini kullanarak CVE-2023-36884’ten yararlanmaya çalışan Avrupa ve Kuzey Amerika’daki savunma ve devlet kurumlarına yönelik hedefli saldırıların farkında olduklarını söyledi. .
Microsoft, “Bir saldırgan, kurbanın bağlamında uzaktan kod yürütmesini sağlayan özel hazırlanmış bir Microsoft Office belgesi oluşturabilir” dedi. “Ancak, bir saldırganın kurbanı kötü amaçlı dosyayı açmaya ikna etmesi gerekir.”
Şirket izinsiz giriş kampanyasını RomCom, Tropical Scorpius, UNC2596 ve Void Rabisu adlarıyla da bilinen Storm-0978 olarak izlediği bir Rus siber suç grubuna işaret etti.
Microsoft Tehdit İstihbaratı ekibi, “Aktör ayrıca, ilk kez Mayıs 2022’de vahşi doğada gözlemlenen Endüstriyel Casus fidye yazılımıyla yakından ilişkili olan Yeraltı fidye yazılımını da kullanıyor.” “Aktörün Haziran 2023’te tespit edilen son kampanyası, RomCom ile benzerlikleri olan bir arka kapı sağlamak için CVE-2023-36884’ün kötüye kullanılmasını içeriyordu.”
Aktör tarafından düzenlenen son kimlik avı saldırıları, Doğu Avrupa ve Kuzey Amerika’daki çeşitli Ukraynalı ve Ukrayna yanlısı hedeflere karşı RomCom RAT adlı bir uzaktan erişim truva atı dağıtmak için benzer web sitelerinde barındırılan meşru yazılımların truva atı haline getirilmiş sürümlerinin kullanılmasını gerektirdi.
RomCom ilk olarak Küba fidye yazılımına bağlı bir grup olarak saatlenmiş olsa da, o zamandan beri Industrial Spy gibi diğer fidye yazılımı suşlarının yanı sıra Temmuz 2023 itibarıyla Underground adlı yeni bir varyantla bağlantılıdır ve Industry Spy ile önemli kaynak kodu çakışmaları sergiler.
Microsoft, bant dışı bir güvenlik güncellemesi veya aylık yayın süreci yoluyla “müşterilerimizi korumaya yardımcı olmak için uygun eylemi” gerçekleştirmeyi planladığını söyledi. CVE-2023-36884 için bir yama bulunmadığından şirket, kullanıcıları “Tüm Office uygulamalarının alt süreçler oluşturmasını engelle” saldırı yüzeyi azaltma (ASR) kuralını kullanmaya çağırıyor.
Redmond ayrıca, açık kaynak araçlarını kullanarak 29 Temmuz 2015’ten önce sürücülerin imza tarihini değiştirmek için bir Windows politika boşluğundan yararlanarak, tehlikeye atılmış sistemlerde kötü amaçlı çekirdek modu sürücülerini imzalamak ve yüklemek için kullanılan kod imzalama sertifikalarını iptal ettiğini söyledi. HookSignTool ve FuckCertVerifyTimeValidity.
Bulgular, hileli çekirdek modu sürücülerinin kullanımının, Windows’ta en yüksek ayrıcalık seviyesinde çalıştıkları için tehdit aktörleri arasında ilgi kazandığını ve böylece aynı anda güvenlik yazılımının işleyişine müdahale ederken uzun süre kalıcılık sağlamayı mümkün kıldığını gösteriyor. tespitten kaçmak için
🔐 PAM Güvenliği – Hassas Hesaplarınızı Güvenceye Almak İçin Uzman Çözümler
Uzmanlar tarafından yönetilen bu web semineri, sizi ayrıcalıklı erişim güvenliği stratejinizi dönüştürmek için ihtiyaç duyduğunuz bilgi ve stratejilerle donatacak.
Yerinizi Ayırın
Şu anda diğer açıkların nasıl kullanıldığı ve bu saldırıların ne kadar geniş bir alana yayıldığı net değil. Ancak aktif kötüye kullanım ışığında, kullanıcıların potansiyel tehditleri azaltmak için güncellemeleri uygulamak için hızlı hareket etmeleri önerilir.
Diğer Satıcılardan Yazılım Yamaları
Microsoft’a ek olarak, son birkaç hafta içinde çeşitli güvenlik açıklarını gidermek için diğer satıcılar tarafından da güvenlik güncelleştirmeleri yayınlandı: