Microsoft, Eylül Yaması Salı güncellemesinde beş kritik güvenlik açığını ve vahşi ortamda aktif saldırı altında olan iki “önemli” dereceli sıfır günü ele aldı.
Toplamda Microsoft, ürün gamındaki hataları gideren 59 yeni yama yayınladı: Bunlar Microsoft Windows, Exchange Server, Office, .NET ve Visual Studio, Azure, Microsoft Dynamics ve Windows Defender’ı etkiliyor.
Güncelleştirme ayrıca, Microsoft Edge’i etkileyen, aktif olarak yararlanılan, kritik bir Chromium sıfır gün hatası da dahil olmak üzere bir dizi üçüncü taraf sorununu da içeriyor. Dış sorunlarla birlikte CVE’lerin sayısı toplam 65’tir.
Düzeltmelerin genişliğine rağmen araştırmacılar, bu ay yama önceliklendirmesinin oldukça basit olduğunu, Microsoft Exchange Server’daki sıfır günlerin, kritik hataların ve sorunların ve TCP/IP protokolünün Windows uygulamasının ön plana çıkması gerektiğini belirtti. çoğu kuruluşun hattı.
Etkin Suistimal Altındaki Microsoft Sıfır Günleri
CVE’lerden ikisinin yama öncesinde tehdit aktörleri tarafından kullanıldığı listelenirken, yalnızca bir tanesinin kamuya açık olduğu listeleniyor. Her ikisinin de, bariz sebeplerden ötürü, yama yapılacaklar listesinin başında olması gerekir.
Genel hata Microsoft Word’de (CVE-2023-36761, CVSS 6.2) bulundu; bu bir “bilgi ifşası” sorunu olarak sınıflandırılıyor, ancak Trend Micro’nun Sıfır Gün Girişimi (ZDI) araştırmacısı Dustin Childs, bunun ciddiyetine ters düştüğünü belirtti.
Microsoft’un Eylül yama sürümünde Salı günü yayınlanan bir gönderide, “Bir saldırgan bu güvenlik açığını NTLM karmalarının açığa çıkmasına izin vermek için kullanabilir, bu da daha sonra muhtemelen NTLM aktarma tarzı bir saldırıda kullanılacaktır” dedi. “Sınıflandırmadan bağımsız olarak, önizleme bölmesi de burada bir vektördür, bu da hiçbir kullanıcı etkileşiminin gerekli olmadığı anlamına gelir. Bunu kesinlikle test ve konuşlandırma listenizin en üstüne koyun.”
Diğer sıfır gün, Windows işletim sisteminde (CVE-2023-36802, CVSS 7.8), özellikle Microsoft Stream’in akış hizmeti proxy’sinde (eski adıyla Office 365 Video olarak biliniyordu) bulunur. Öneriye göre, başarılı bir şekilde yararlanmak için bir saldırganın, ayrıcalıkların yönetici veya sistem ayrıcalıklarına yükseltilmesine izin verecek özel hazırlanmış bir programı çalıştırması gerekir.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, Dark Reading’e “Bu, 2023’te vahşi doğada istismar edilen sekizinci ayrıcalık yükseltme sıfır gün güvenlik açığıdır” dedi. “Saldırganların organizasyonları ihlal etmek için sayısız yolu olduğundan, yalnızca bir sisteme erişim sağlamak her zaman yeterli olmayabilir; bu da ayrıcalık yükseltme kusurlarının, özellikle de sıfır günlerin çok daha değerli hale geldiği yerdir.”
Eylül 2023 Kritik Güvenlik Açıkları
Kritik hatalar söz konusu olduğunda en endişe verici olanlardan biri Microsoft’un Azure Kubernetes hizmetinde bulunan CVE-2023-29332’dir. Uzak, kimliği doğrulanmamış bir saldırganın Kubernetes Kümesi yönetim ayrıcalıkları kazanmasına olanak tanıyabilir.
Childs, gönderisinde “Bu, İnternet’ten erişilebildiği, kullanıcı etkileşimi gerektirmediği ve düşük karmaşıklık olarak listelendiği için öne çıkıyor” diye uyardı. “Bu hatanın uzak, doğrulanmamış yönüne bakıldığında, saldırganlar için oldukça cazip gelebilir.”
Kritik olarak derecelendirilen yamalardan üçü, Visual Studio’yu etkileyen RCE sorunlarıdır (CVE-2023-36792, CVE-2023-36793 ve CVE-2023-36796, tümü CVSS puanı 7,8’dir). Bunların tümü, yazılımın etkilenen bir sürümüyle kötü amaçlı bir paket dosyası açıldığında rastgele kod yürütülmesine yol açabilir.
Automox’un ürün güvenliği müdürü Tom Bowyer bir gönderisinde şunları söyledi: “Visual Studio’nun geliştiriciler arasındaki yaygın kullanımı göz önüne alındığında, bu tür güvenlik açıklarının etkisi domino etkisi yaratabilir ve hasarı başlangıçta tehlikeye atılan sistemin çok ötesine yayabilir.” “En kötü senaryoda bu, özel kaynak kodunun çalınması veya bozulması, arka kapıların açılması veya uygulamanızı başkalarına yönelik saldırılar için bir fırlatma rampasına dönüştürebilecek kötü niyetli müdahaleler anlamına gelebilir.”
Son kritik sorun ise Windows’taki İnternet Bağlantı Paylaşımı (ICS) işlevi aracılığıyla kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren CVE-2023-38148’dir (CVSS 8.8, Microsoft’un bu ay yamaladığı en ciddi sorun). Saldırganın ağa bitişik olması gerekeceği gerçeği, riski azaltır; ayrıca çoğu kuruluş artık ICS kullanmamaktadır. Ancak hala kullananların hemen yama yapması gerekiyor.
Immersive Labs’ın siber güvenlik baş mühendisi Natalie Silva, “Saldırganlar bu güvenlik açığından başarıyla yararlanırsa gizlilik, bütünlük ve kullanılabilirlik tamamen kaybolabilir” diyor. “Yetkisiz bir saldırgan, hizmete özel hazırlanmış bir ağ paketi göndererek bu güvenlik açığından yararlanabilir. Bu, rastgele kod yürütülmesine yol açarak, potansiyel olarak yetkisiz erişime, veri manipülasyonuna veya hizmetlerin kesintiye uğramasına neden olabilir.”
Öncelik Verilecek Diğer Microsoft Yamaları
Eylül güncellemesinde ayrıca “istismar edilme ihtimalinin daha yüksek” olduğu düşünülen bir dizi Microsoft Exchange Server hatası da yer alıyor.
Sorunların üçlüsü (CVE-2023-36744, CVE-2023-36745 ve CVE-2023-36756, tümü CVSS derecesi 8,0) 2016-2019 sürümlerini etkiliyor ve hizmete karşı RCE saldırılarına izin veriyor.
“Bu saldırıların hiçbiri sunucunun kendisinde RCE ile sonuçlanmasa da, geçerli kimlik bilgilerine sahip ağa bitişik bir saldırganın kullanıcı verilerini değiştirmesine veya hedeflenen bir kullanıcı hesabı için bir Net-NTLMv2 karması ortaya çıkarmasına izin verebilir ve bu da daha sonra kurtarılmak üzere kırılabilir. Immersive’in baş siber güvenlik mühendisi Robert Reeves, “Bu, başka bir hizmete saldırmak için bir kullanıcı şifresi veya ağ içinde dahili olarak aktarılan bir şifredir” diyor.
Ayrıca şunu ekliyor: “Ağ içinde Etki Alanı Yöneticisi veya benzer izinlere sahip olan ayrıcalıklı kullanıcılar, Microsoft’un güvenlik tavsiyesine aykırı olarak Exchange’de oluşturulmuş bir posta kutusuna sahipse, bu tür bir aktarma saldırısının önemli sonuçları olabilir.”
Ve son olarak Automox’taki araştırmacılar, Windows TCP/IP’deki (CVE-2023-38149, CVSS 7.5) bir hizmet reddi (DoS) güvenlik açığını öncelik verilmesi gereken bir güvenlik açığı olarak işaretledi.
Automox CISO’su Jason Kikta, Patch Tuesday’in bir dökümünde, hatanın ağa bağlı herhangi bir sistemi etkilediğini ve “bir ağ vektörü aracılığıyla bir saldırganın herhangi bir kullanıcı kimlik doğrulaması veya yüksek karmaşıklık olmadan hizmeti kesintiye uğratmasına izin verdiğini” söyledi. “Bu güvenlik açığı, dijital ortam için önemli bir tehdit teşkil ediyor. Bu zayıflıklar, sunuculara aşırı yükleme yapmak, ağların ve hizmetlerin normal işleyişini bozmak ve bunların kullanıcılar tarafından kullanılamaz hale gelmesine neden olmak için kullanılabilir.”
Bunların hepsi IPv6’nın devre dışı olduğu sistemlerin etkilenmediğini söyledi.