Mayıs 2023 Salı Yaması için Microsoft, bir Windows hatası için bir yama (CVE-2023-29336) ve saldırganlar tarafından istismar edilen bir Güvenli Önyükleme atlama kusuru (CVE-2023-24932) dahil olmak üzere 38 CVE numaralı güvenlik açığı için düzeltmeler sağladı. .
Yararlanan iki hata (CVE-2023-29336, CVE-2023-24932)
CVE-2023-29336 saldırganların SİSTEM ayrıcalıkları elde etmesine olanak sağlayan bir güvenlik açığıdır.
AV üreticisi Avast ile araştırmacılar tarafından işaretlendi, muhtemelen kötü amaçlı yazılım dağıtmak için kullanılıyor. Microsoft, istismarının bağlamı hakkında hiçbir ayrıntı sunmadı.
“Bu, bir ayrıcalık yükselmesi güvenlik açığının sıfır gün olarak vahşi ortamda istismar edildiği art arda beşinci aydır. Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, Help Net Security’ye verdiği demeçte, istismarıyla ilgili ayrıntıların onu keşfeden araştırmacılar tarafından yakında kamuoyuna duyurulacağını tahmin ediyoruz.
“Tarihsel olarak, Win32k EoP güvenlik açıklarının sıfır gün olarak istismar edildiği üç ayrı örnek gördük. Ocak 2022’de Microsoft, vahşi ortamda istismar edilen ve bildirildiğine göre Şubat 2021’de yamalanan ve yine vahşi ortamda istismar edilen CVE-2021-1732 için bir yama atlama olduğu bildirilen CVE-2022-21882’ye yama yaptı. Ekim 2021’de Microsoft, CVE-2016-3309 için bir yama atlaması olan MysterySnail olarak bilinen bir uzaktan erişim truva atına bağlı olan ve CVE-2021-40449 olarak tanımlanan başka bir Win32k EoP’ye yama yaptı. Ancak, bu kusurun bir yama atlaması olup olmadığı belli değil.”
CVE-2023-24932 saldırganların Güvenli Önyükleme korumalarını atlamasına izin verir. BlackLotus bootkit tarafından, geçen yıl düzeltilen başka bir Güvenli Önyükleme atlama kusuru olan CVE-2022-21894’ten yararlanmak için kullanılıyor.
“Bu güvenlik açığı, Güvenli Önyükleme etkinken bir saldırganın Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) düzeyinde kendinden imzalı kod yürütmesine olanak tanır. Bu, tehdit aktörleri tarafından öncelikle bir ısrar ve savunmadan kaçınma mekanizması olarak kullanılır,” diye paylaştı Microsoft. “Başarılı bir istismar, saldırganın hedeflenen cihazda fiziksel erişime veya yerel yönetici ayrıcalıklarına sahip olmasına bağlıdır.”
Güvenlik güncelleştirmesi, Windows Önyükleme Yöneticisi’ni güncelleyerek bu güvenlik açığını giderir, ancak kesintiye neden olabileceği ve bir sistemin başlatılmasını engelleyebileceği için varsayılan olarak etkin değildir.
Microsoft, “Müşterilerin bu güncellemeyi etkinleştirmeden önce önyüklenebilir medyayı güncellemek ve iptalleri uygulamak için manuel adımları dikkatlice izlemesi gerekecek” dedi ve düzeltmenin varsayılan olarak etkinleştirileceği 2024 1. Çeyrek’te sona erecek olan bu güvenlik açığını gidermek için aşamalı yaklaşımını açıkladı. ve tüm Windows cihazlarında bootmanager iptallerini zorunlu kılacaktır.
İlginç bir şekilde Microsoft, Güvenli Önyükleme korumalarına sahip tüm Windows cihazlarını etkilemenin yanı sıra, sorunun Linux’u da etkilediğini ve düzeltmeyi kendi işletim sistemlerinde kullanılabilir hale getirmek için büyük Linux dağıtımlarının temsilcileriyle koordineli çalıştıklarını söylüyor.
Dikkat edilmesi gereken diğer güvenlik açıkları
CVE-2023-29325 Windows’un Nesne Bağlama ve Gömme (OLE) mekanizmasında yer alan ve bir saldırganın yalnızca kötü amaçlarla oluşturulmuş bir RTF e-postası göndererek hedef sistemde kod yürütmesine olanak tanıyan, genel olarak bilinen bir güvenlik açığıdır.
“Önizleme Bölmesi dır-dir bir saldırı vektörü, böylece bir hedefin hazırlanmış mesajı okumasına bile gerek kalmaz. Trend Micro’nun Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs, Outlook’un daha olası bir istismar vektörü olmasına rağmen, diğer Office uygulamalarının da etkilendiğini söylüyor.
“Bu, bu ay yamalanan ve Twitter’da geniş çapta tartışılan, herkes tarafından bilinen hatalardan biri. Microsoft bazı geçici çözümler sunsa da, bu güncelleştirmeyi hızlı bir şekilde test etmek ve dağıtmak daha iyi bir fikirdir.”
Microsoft SharePoint sunucularından sorumlu yöneticilerin takması gerekir CVE-2023-24955STAR Labs ekibi tarafından Pwn2Own Vancouver sırasında kullanılan bir RCE kusuru olduğunu da sözlerine ekledi.
Nihayet, CVE-2023-24941 Windows Ağ Dosya Sistemindeki (NFS) kritik bir RCE’dir ve bir NFS hizmetine kimliği doğrulanmamış, özel olarak hazırlanmış bir çağrı gönderilerek yararlanılabilir.
“Düşük saldırı karmaşıklığı ve hiçbir ayrıcalık veya kullanıcı etkileşimi gerektirmemesi nedeniyle, Windows Server 2012, 2016, 2019 ve 2022’de 72 saat içinde yama uygulamanızı öneririz. Yama uygulayamıyorsanız, bir seçenek Microsoft’tan geçici bir düzeltme uygulamaktır – onlar da Automox’tan Peter Pflaster, bu düzeltmenin yalnızca Mayıs 2022’den itibaren güvenlik güncellemelerini zaten uyguladıysanız uygulanması gerektiğini unutmayın.