Adobe Acrobat ve Reader (CVE-2023-26369), Microsoft Word (CVE-2023-36761) ve Microsoft Streaming Service Proxy’deki (CVE-2023-36802) aktif olarak yararlanılan güvenlik açıklarına yönelik düzeltmelerle Eylül 2023 Yaması Salı geldi.
Microsoft’un dikkate değer güvenlik açıkları
Microsoft, 61 CVE numaralı kusur için düzeltmeler sağladı: 5’i kritik, 55’i önemli ve biri orta önemde.
Microsoft Tehdit İstihbaratı saldırganlar tarafından istismar edildiğini tespit ettiğinden (şirket saldırıların ne kadar yaygın olduğunu söylememiş olsa da), Word’ü etkileyen bir bilgi ifşa hatası olan CVE-2023-36761’e yönelik yamaların hızla dağıtılması gerekiyor.
“Bu güvenlik açığından yararlanılması yalnızca potansiyel bir hedefin kötü amaçlı bir Word belgesini açmasıyla sınırlı değildir; çünkü yalnızca dosyanın ön izlemesi güvenlik açığından yararlanmanın tetiklenmesine neden olabilir. Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “Sömürü, Yeni Teknoloji LAN Yöneticisi (NTLM) karmalarının ifşa edilmesine olanak tanıyacaktır” diyor.
Automox Ürün Güvenliği Müdürü Tom Bowyer, açığa çıkan NTLM karmalarının önemli riskler oluşturduğunu, çünkü bunların aslında kullanıcının kimlik bilgilerine yönelik dijital anahtarlar olduğunu belirtiyor. “Kötü niyetli bir aktör bu karmalara erişim kazanırsa, potansiyel olarak kullanıcının kimliğine bürünerek hassas verilere ve sistemlere yetkisiz erişim sağlayabilir. Ayrıca, saldırganın şifreyi çözmeye gerek kalmadan kimliğini doğrulamak için şifrenin karma sürümünü kullandığı karma geçiş saldırıları da gerçekleştirebilirler.”
Microsoft Streaming Service Proxy’sindeki ayrıcalık yükselmesi kusuru olan CVE-2023-36802 de yaygın olarak istismar edildi. Bunu kullanan saldırılarla ilgili ek ayrıntı paylaşılmadı ancak Microsoft, DBAPPPSecurity WeBin Lab ve IBM X-Force araştırmacılarının yanı sıra kendi Tehdit İstihbaratı ve Güvenlik Yanıt Merkezi ekiplerinin bunu işaretlediğini kabul etti.
Trend Micro’nun Sıfır Gün Girişimi’nin tehdit farkındalığı başkanı Dustin Childs, Azure Kubernetes hizmetinde, uzak, kimliği doğrulanmamış bir saldırganın yama yapılması önemli olan Küme Yönetimi ayrıcalıkları kazanmasına izin verebilecek bir hata olan CVE-2023-29332’yi de belirledi.
“Daha önce buna benzer hatalar görmüştük, ancak bu, İnternet’ten erişilebilmesi, kullanıcı etkileşimi gerektirmemesi ve düşük karmaşıklık olarak listelenmesi nedeniyle öne çıkıyor. Microsoft buna ‘Kullanım Olasılığı Daha Az’ derecelendirmesi veriyor, ancak bu hatanın uzaktan, doğrulanmamış yönüne dayanarak, bu durum saldırganlar için oldukça cazip gelebilir” diye açıkladı.
Ayrıca bu kez Visual Studio entegre geliştirme ortamında, uzaktan kod yürütülmesine, hizmet reddine veya ayrıcalık yükselmesine olanak tanıyan birçok hata düzeltildi.
“Visual Studio’da uzaktan kod yürütme ve ayrıcalıkların yükseltilmesi güvenlik açıkları gerçek ve önemli bir tehlike oluşturuyor. Bu tür bir güvenlik açığı, saldırgana sisteminizde kötü amaçlı kod çalıştırma yeteneği vererek etkilenen ortam üzerinde tam kontrol sahibi olma potansiyeline sahip olabilir” yorumunu yaptı Bowyer.
“En kötü senaryoda bu, özel kaynak kodunun çalınması veya bozulması, arka kapıların açılması veya uygulamanızı başkalarına yönelik saldırılar için bir fırlatma rampasına dönüştürebilecek kötü niyetli müdahaleler anlamına gelebilir.”
Son olarak Microsoft Exchange sunucusu, bir kimlik sahtekarlığı güvenlik açığı olan CVE-2023-36757 de dahil olmak üzere birçok düzeltme aldı. Daha kesin olmak gerekirse, bu ve diğer Exchange kusurlarına yönelik düzeltmeler geçen ayki Exchange güvenlik güncellemelerine dahil edildi.
Microsoft, “Bugün yayımlanan CVE’ler aslında Ağustos 2023 Exchange Sunucusu Güvenlik Güncelleştirmesi’nde (SU) ele alındı” diye açıkladı.
“Bu düzeltmelerin ve yayın tarihlerinin doğrulanma zamanlaması nedeniyle, CVE’leri Eylül 2023 ‘Yama Salı’ yayın döngüsünün bir parçası olarak yayınlamaya karar verdik. Birçok müşterinin her ayın ikinci Salı günü Microsoft güvenlik sürümlerini kontrol etmeye alışkın olduğunu biliyoruz ve bu CVE’lerin gözden kaçmasını istemedik. Eylül 2023 için ayrı bir Exchange Server SU’su yok. Ağustos 2023 SU’yu henüz yüklemediyseniz lütfen şimdi yapın.”
Childs, CVE-2023-36757’nin üç RCE hatasıyla birlikte kimlik doğrulama gerektirdiğini, ancak aynı zamanda geçen ayki Exchange yamalarının bir kimlik doğrulama atlama hatası içerdiğini belirtti.
Kritik Adobe yamaları
Tıpkı Microsoft gibi Adobe de her ayın ikinci Salı günü düzenli güvenlik güncellemeleri yayınlar ve bu sefer bunlar Acrobat ve Reader, Experience Manager ve Connect içindir.
Ancak yalnızca eski güncellemeler acilen yüklenmelidir; çünkü bu güncellemeler, rastgele kod yürütülmesine yol açabilecek ve “Adobe Acrobat’ı hedef alan sınırlı saldırılarda vahşi doğada istismar edilen kritik bir sınır dışı yazma kusurunu (CVE-2023-26369) düzeltir.” ve Okuyucu.”