Microsoft’un Ağustos güvenlik güncelleştirmesi, saldırganların vahşi ortamda aktif olarak yararlandıkları da dahil olmak üzere 74 güvenlik açığı için düzeltmeler içeriyor.
Şirket, güvenlik açıklarından altısını kritik önemde ve 67’sini (sıfır gün hatası dahil) kuruluşların hızlı bir şekilde ele alması gereken önemli güvenlik açıkları olarak değerlendirdi.
Güvenlik güncellemesi, uzaktan kod yürütme (RCE) hataları, ayrıcalık yükseltme sorunları, güvenlik atlama açıkları ve bilgi ifşasına veya hizmet reddi koşullarına olanak sağlayanların olağan karışımını içeriyordu. Hatalar Windows, Office, Azure Active Directory ve çok çeşitli diğer Microsoft teknolojilerini etkiler.
Güvenlik yöneticileri için iş yükü açısından bakıldığında, Microsoft’un Ağustos güncellemesi, çok sayıda 130 benzersiz CVE için düzeltmeler ve beş sıfır gün hatası içeren Temmuz güncellemesinden önemli ölçüde daha hafiftir. Genellikle olduğu gibi, birkaç güvenlik uzmanı, kuruluşların öncelikli olarak ele alması gereken bu ayki güvenlik açıkları dizisindeki sıfır gün hatasına işaret etti.
Ağustos Yamaları Arasında Sıfır Gün Hatası
CVE-2023-38180 olarak izlenen hata, .Net ve Visual Studio’nun birden çok sürümünü etkileyen bir hizmet reddi sorunudur. Microsoft, saldırganların güvenlik açığından vahşi ortamda yararlandığının farkında olduğunu söyledi ve açığı, saldırganların yararlanma olasılığının daha yüksek olduğu bir güvenlik açığı olarak nitelendirdi. Action1’de güvenlik açığı ve tehdit araştırmasından sorumlu Başkan Yardımcısı M. Walters, e-postayla gönderilen yorumlarda, “Bir ağ saldırısı vektörü kullanıyor, düşük bir saldırı karmaşıklığına sahip ve ayrıcalıklar veya kullanıcı etkileşimi gerektirmiyor” dedi. “[The flaw’s] Walters, “CVSS derecesi 7,5’tir ve yalnızca hizmet reddiyle sonuçlanma kabiliyeti nedeniyle yüksek olarak sınıflandırılmaz” dedi. Saldırganların bu kusurdan yararlanarak sistem çökmelerini tetikleyebileceğini söyledi.
Immersive Labs siber güvenlik mühendisi Nikolas Cemerikic, bir saldırganın güvenlik açığından yararlanabilmesi için hedef sistemle aynı ağda olması gerektiğini ekledi. “[But] Bu güvenlik açığı özellikle saldırganın kullanıcı ayrıcalıklarına sahip olmasını gerektirmez” dedi.
Derinlemesine Savunma Güncellemesi
Microsoft’un Ağustos güvenlik güncellemesi, şirketin geçen ay açıkladığı bir uzaktan kod yürütme sıfır gün kusuru için kapsamlı bir savunma güncellemesi de içeriyordu. CVE-2023-36884 olarak izlenen kusur, saldırganlara kötü amaçlı Word belgeleri aracılığıyla etkilenen sistemleri tehlikeye atmanın bir yolunu sunuyor. Microsoft, Temmuz 2023 güncellemesinde, Rus tehdit grubu Storm-0978’in Ukrayna, Avrupa ve Kuzey Amerika’nın bazı bölgelerindeki hükümet ve askeri kuruluşlara ait sistemlere RomCom adlı bir arka kapı bırakmak için kullandığına dair raporların ortasında bu güvenlik açığını açıkladı. Microsoft, güncellemenin yüklenmesinin kuruluşların CVE-2023-36884’ün kötüye kullanılmasına yol açan saldırı zincirini durdurmasına yardımcı olabileceğini söyledi.
Çok sayıda RCE
Microsoft, Ağustos güncellemesindeki bazı RCE güvenlik açıklarını önem açısından kritikten daha az olarak değerlendirmiş olsa da, kritik ve yüksek öncelikli ilgiyi hak ettiğini değerlendirdiği birkaç tane vardı. Bunların arasında CVE-2023-36910, CVE-2023-36911 ve CVE-2023-35385 bulunmaktadır.
CVE-2023-36910, Windows 10, 11 ve Server 2008-2022 sistemlerinde Microsoft Message Queuing’i etkiler. Herhangi bir kullanıcı ayrıcalığına sahip olmayan uzaktaki bir saldırgan, etkilenen sistemlerde rasgele kod çalıştırmak için ağ üzerinden bu güvenlik açığından yararlanabilir. Automox CISO’su Jason Kikta, bir sistemin savunmasız olması için Windows Mesaj kuyruğu hizmetinin etkinleştirilmesi gerektiğini söyledi. Kikta, “Varsayılan olarak, bu hizmet ‘Message Queuing’ olarak adlandırılır ve makinede 1801 numaralı TCP bağlantı noktası dinler. MSMQ artık varsayılan olarak etkin olmasa da, etkinleştirildiği herhangi bir cihaz risk altındadır” dedi.
CVE-2023-36911 ve CVE-2023-35385, Microsoft Message Queuing’deki diğer iki kritik RCE’dir. CVE-2023-36910 gibi, bu iki güvenlik açığı da ağ üzerinden kullanılabilir ve kullanıcı etkileşimi veya ayrıcalık gerektirmez. Olumlu tarafı, Walters, kuruluşların bu güvenlik açıklarından kaynaklanan riski azaltmak için uygulayabilecekleri birkaç hafifletme yöntemi olduğunu belirtti. “Azaltıcı etkenler, güvenlik açığından yararlanmanın ciddiyetini azaltabilen, varsayılan olarak doğasında bulunan ayarlar, yaygın yapılandırmalar veya genel en iyi uygulamalardır” dedi.
Ayrıcalık Hatalarının Yükselmesi
Ağustos güncellemesinde, saldırganların güvenliği ihlal edilmiş bir makinede ayrıcalıkları artırmasına ve makine üzerinde tam kontrol sahibi olmasına olanak tanıyan birkaç Windows çekirdeği ayrıcalık yükseltme güvenlik açığı vardır. Immersive Labs’ın baş siber güvenlik mühendisi Rob Reeve, kusurların Windows Server 2008’den Windows Server 2022’ye ve Windows 11 dahil olmak üzere bir dizi Windows sürümünde mevcut olduğunu söyledi. Reeves, “Saldırganlar, bir kimlik avı saldırısı veya savunmasız bir hizmetin kullanılmasından sonra erişim sağlandıktan sonra bir Windows sistemi üzerinde tam denetim elde etmek için bu güvenlik açıklarından yararlanır.” Bu kategorideki kusurlar arasında CVE-2023-35359, CVE-2023-35380, CVE-2023-35382 ve CVE-2023-35386 yer alıyor dedi.
Exchange Sunucusu Tehditleri
Microsoft’un Ağustos ayında bir düzeltme eki yayınladığı güvenlik açıklarından altısı Microsoft Exchange Server’da bulunmaktadır. Bunlardan birinin (CVE-2023-21709) CVSS puanı 9,8’dir, ancak güçlü parola gereksinimleri olan ortamlarda göründüğünden daha az tehdit oluşturması muhtemeldir. Bir saldırgan, güvenlik açığından yalnızca geçerli kullanıcı hesaplarına kaba kuvvet saldırıları yoluyla yararlanabilir. Tenable’da kıdemli personel araştırma mühendisi Satnam Narang, kaba kuvvet saldırılarının güçlü parolalara sahip hesaplara karşı başarılı olmayacağını söyledi. “Ancak zayıf parolalar kullanılıyorsa, bu kaba kuvvet girişimlerini daha başarılı hale getirir” dedi. Narang, Exchange Server’daki geri kalan beş güvenlik açığının bir sahtekarlık kusuru ve uzaktan kod yürütme hatalarını içerdiğini, ancak grubun en ciddisinin aynı zamanda geçerli bir hesap için kimlik bilgileri gerektirdiğini söyledi.
Microsoft, Exchange Server’daki iki RCE’yi (CVE-2023-35388 ve CVE-2023-38182) saldırganların yararlanma olasılığının daha yüksek olduğu güvenlik açıkları olarak değerlendirdi. Ancak bir saldırganın güvenlik açığından yararlanabilmesi için kurbanın dahili ağına geçerli Exchange kullanım kimlik bilgileriyle zaten bağlı olması gerekir.