Yönetişim ve Risk Yönetimi , Yama Yönetimi
Mayıs Yaması Salı, 3 Sıfır Gün Dahil 38 Hata Düzeltiyor
Prajeet Nair (@prajeetspeaks) •
10 Mayıs 2023
Microsoft, BlackLotus UEFI kötü amaçlı yazılımı tarafından istismar edilen bir Güvenli Önyükleme sıfır gün güvenlik açığını ikinci kez ele alan aylık düzeltme dökümünün bir parçası olarak Salı günü isteğe bağlı bir yama yayınladı.
Ayrıca bakınız: Proaktif Risk Yönetimi ile Siber Güvenliği Dönüştürün
Toplamda, Redmond devi Mayıs yama döngüsünde 38 güvenlik düzeltmesi çıkardı ve üç sıfır gün açığını ele aldı – bunlardan ikisi UEFI kusuru da dahil olmak üzere aktif kullanım altında – ve kritik olarak derecelendirilen altı hatayı ele aldı.
Bu yılın başlarında güvenlik araştırmacıları, BlackLotus bootkit’in bilgisayar korsanı forumlarında 5.000$’a satıldığını tespit etti. BlackLotus, yalnızca güvenilir işletim sistemlerinin bir cihazı önyükleyebilmesini sağlamak için bilgi işlem endüstri standardını alt edebilen kötü amaçlı yazılımın bilinen ilk örneğiydi. Microsoft’un 2022’de yamaladığı ve CVE-2022-21894 olarak izlenen bir güvenlik açığından yararlandı (bkz: BlackLotus Kötü Amaçlı Yazılımı, Windows Makinelerinde Güvenli Önyüklemeyi Atlıyor).
Bilgisayar korsanları, Microsoft’un BlackLotus’a karşı ikinci yamasını geliştirmesine yol açan CVE-2023-24932 olarak izlenen bir geçici çözüm buldu.
Şirket, yamanın isteğe bağlı olduğunu, çünkü saldırganın istismarın çalışması için yönetici ayrıcalıklarına veya cihaza fiziksel erişimine sahip olması gerektiğini söylüyor. Microsoft, yamayı UEFI yapılandırmasında yapılan değişikliklerle takip etmeyi gerektiren düzeltmeyi uygulama kılavuzunda, “Bir saldırgan, zaten erişebilecekleri ve muhtemelen manipüle edebilecekleri bir cihazı kontrol etmeye devam etmek için genellikle bu güvenlik açığını kullanır.”
Bir blog yazısında Rapid 7 Baş Yazılım Mühendisi Adam Barnett, kusurun CVSS3 taban puanı olan 6.7’den daha tehlikeli olduğunu söyledi. “Microsoft, yama uygulanmamış bir varlığa zaten Yönetici erişimi olan bir saldırganın, fiziksel erişimi olması gerekmeden CVE-2023-24932’den yararlanabileceği konusunda uyarıyor” diye yazdı.
Siber tehdit araştırma direktörü Kev Breen, “Bu yama, yerel ve uzak çalışanlarla hibrit bir iş gücü çalıştıran kuruluşlar veya sık seyahat eden kuruluşlar için listede üst sıralarda yer almalı. Kötü Hizmetçi tarzı saldırılar buradaki vektördür” dedi. Sürükleyici Laboratuvarlar.
Aktif kullanım altındaki diğer sıfır gün, bir Win32k ayrıcalık yükselmesi güvenlik açığı olan CVE-2023-29336’dır. Şirket, güvenlik açığını tespit eden antivirüs firması Avast’tan araştırmacılara itibar ediyor.
Trend Micro’nun Zero Day Initiaitve’de tehdit farkındalığı başkanı Dustin Childs, “Bu tür ayrıcalık artışı, genellikle kötü amaçlı yazılım yaymak için bir kod yürütme hatasıyla birleştirilir. Bunun bir AV şirketi tarafından bildirildiği düşünülürse, buradaki olası senaryo bu gibi görünüyor,” diye yazdı. “Her zaman olduğu gibi Microsoft, bu saldırıların ne kadar yaygın olabileceği konusunda hiçbir bilgi vermiyor” diye ekledi.
Microsoft ayrıca, CVE-2023-29325 olarak izlenen ve henüz kötüye kullanılmamış gibi görünen Windows OLE’deki bir uzaktan kod yürütme güvenlik açığını da çözmüştür.
Güvenlik açığı, kullanıcı etkileşimi gerektirmez. Güvenlik açığı işletim sistemindedir ancak Outlook’taki önizleme bölmesi bir saldırı vektörü olarak kullanılabilir.
Microsoft, hatanın “önemli” olduğunu ancak “kritik” önemde olmadığını söylese de, yama paketi önceki bir yamaya yönelik başka bir geçici çözümü de ele aldı.
CVE-2023-29324 güvenlik açığı, saldırganların Outlook istemcilerini bir uzak sunucuya bağlanmaları için kandırmasına olanak tanır. Microsoft, Mart ayında güncellenen Exchange sunucularının saldırının yürütülmesini durdurduğunu iddia ediyor (bkz: Araştırmacılar Sabit Bir Hata İçin Baypas Buluyor; MSFT Yamaları Yeniden).