Mart 2023 Salı Yaması ve Microsoft, farklı tehdit aktörleri tarafından vahşi ortamda aktif olarak kullanılan ikisi (CVE-2023-23397, CVE-2023-24880) dahil olmak üzere 74 CVE numaralı güvenlik açığı için düzeltmeler sağladı.
CVE-2023-23397 hakkında
“CVE-2023-23397, Microsoft Outlook’ta kritik bir EoP güvenlik açığıdır. Hiçbir kullanıcı etkileşimi gerekmez, ”diye açıkladı Microsoft.
“Uzak SMB sunucusuna bağlantı, kullanıcının NTLM anlaşma mesajını gönderir ve saldırgan bunu NTLM kimlik doğrulamasını destekleyen diğer sistemlere karşı kimlik doğrulaması için iletebilir.”
Tenable’da kıdemli personel araştırma mühendisi olan Satnam Narang, Outlook güvenlik açıklarının genellikle Önizleme Bölmesi işlevi tarafından tetiklenebildiğini, ancak bunun değil olduğunu belirtiyor. Help Net Security’ye “Bunun nedeni, güvenlik açığının e-posta sunucusu tarafında tetiklenmesidir, yani istismar, bir kurban kötü amaçlı e-postayı görmeden önce gerçekleşecektir” dedi.
Kusur, Windows için Microsoft Outlook’un tüm desteklenen sürümlerini etkiler, ancak Mac, iOS veya Android için Outlook veya web üzerinde Outlook’u etkilemez. Microsoft, “Microsoft 365 gibi çevrimiçi hizmetler, NTLM kimlik doğrulamasını desteklemez ve bu iletilerin saldırısına karşı savunmasız değildir” dedi.
Güvenlik açığı, Ukraynalı CERT ve Microsoft’un Incident and Treat Intelligence ekipleri tarafından işaretlendi.
Şirket, “Microsoft Tehdit İstihbaratı, Rusya merkezli bir tehdit aktörünün, CVE-2023-23397’de yamalanan açığı Avrupa’da devlet, ulaşım, enerji ve askeri sektörlerdeki sınırlı sayıda kuruluşa yönelik hedefli saldırılarda kullandığını değerlendiriyor” dedi. kuruluşların hedefler arasında olup olmadıklarını kontrol etmek için kullanabilecekleri bir komut dosyası paylaştı.
CVE-2023-24880 hakkında
CVE-2023-24880, saldırganların Windows SmartScreen özelliğini atlamasına olanak tanıyan bir güvenlik açığıdır.
“İnternetten bir dosya indirdiğinizde, Windows bölge tanımlayıcısını veya Web İşaretini (MOTW) dosyaya bir NTFS akışı olarak ekler. Bu nedenle, dosyayı çalıştırdığınızda Windows SmartScreen, dosyaya iliştirilmiş bir bölge tanımlayıcısı Alternatif Veri Akışı (ADS) olup olmadığını kontrol eder. ADS, dosyanın internetten indirildiği anlamına gelen ZoneId=3’ü belirtirse, SmartScreen bir itibar kontrolü yapar,” diye açıklıyor Microsoft.
Bu güvenlik açığı, MOTW savunmasını atlatacak kötü amaçlı bir dosya işlenerek kullanılabilir; bu, Windows SmartScreen ve Microsoft Office Korumalı Görünüm gibi koruyucu önlemlerin tetiklenmeyeceği anlamına gelir.
Google’ın Tehdit Analiz Grubu (TAG) tarafından güvenlik açığından vahşi bir şekilde yararlanıldığı Microsoft’a bildirildi ve güvenlik açığının Magniber fidye yazılımını dağıtmak için kullanıldığını tespit etti.
“Saldırganlar, geçersiz ancak özel hazırlanmış bir Authenticode imzasıyla imzalanmış MSI dosyalarını teslim ediyor. Hatalı biçimlendirilmiş imza, SmartScreen’in, güvenilmeyen bir dosya, potansiyel olarak kötü amaçlı bir dosyanın internetten indirildiğini gösteren bir Web İşareti (MotW) içerdiğinde, kullanıcılara görüntülenen güvenlik uyarısı iletişim kutusunun atlanmasına neden olan bir hata döndürmesine neden olur. ” ekip açıkladı.
“TAG, Ocak 2023’ten bu yana kötü amaçlı MSI dosyalarının 100.000’den fazla indirildiğini gözlemledi ve bunların %80’den fazlası Avrupa’daki kullanıcılara yapıldı; bu, Magniber’in genellikle Güney Kore ve Tayvan’a odaklanan tipik hedeflemesinden dikkate değer bir farklılık.”
Ayrıca Eylül ve Kasım 2022’de tehdit aktörlerinin, kusur Aralık 2022’de yamalanmadan önce Magniber fidye yazılımını ve Qakbot bilgi hırsızını teslim etmek için benzer bir SmartScreen baypas güvenlik açığı (CVE-2022-44698) kullandığını da belirttiler.
Sorunun, yamanın çok dar olması olduğunu söylüyorlar, bu nedenle saldırganlar tekrarladı ve yeni değişkenler keşfetti.
“Bir güvenlik sorununu yamalarken, yerelleştirilmiş, güvenilir bir düzeltme ile temel neden sorununun potansiyel olarak daha zor bir düzeltmesi arasında bir gerilim vardır. SmartScreen güvenlik baypasının arkasındaki temel neden giderilmediğinden, saldırganlar orijinal hatanın farklı bir varyantını hızlı bir şekilde tespit edebildiler. Project Zero, bu trend hakkında kapsamlı bir şekilde yazıp sundu ve hataların doğru ve kapsamlı bir şekilde düzeltilmesini sağlamak için birkaç uygulama önerdi” diye eklediler.
Dikkat edilmesi gereken diğer güvenlik açıkları
Dustin Childs, Trend Micro’nun Zero Day Initiative’i ile ayrıca, ortak bir Windows 11 ve Windows Server 2022 yapılandırmasında yararlanılabilen, zararlı bir HTTP protokol yığını RCE kusurunu (CVE-2023-23392) ve İnternet Kontrol Mesajı Protokolünde ( CVE-2023-23415) hızlı düzeltmeye değer.
Bu listeye, Windows Şifreleme Hizmetlerinde bir RCE olan CVE-2023-23416’yı ekleyin.
“Başarılı bir istismar için, etkilenen bir sisteme kötü niyetli bir sertifikanın aktarılması gerekir. Bir saldırgan, sertifikaları işleyen veya içe aktaran bir hizmete sertifika yükleyebilir veya kimliği doğrulanmış bir kullanıcıyı sistemlerine bir sertifika almaya ikna edebilir.”