Devam eden Black Hat USA ve DEF CON siber karmaşasının ortasında Microsoft, Ağustos Yaması Salı güncellemesinde halihazırda istismar edilen iki sıfır gün, 20’den fazla uzaktan kod yürütme (RCE) hatası ve altı kritik dahil olmak üzere 70’in biraz üzerinde güvenlik açığını ele aldı. böcekler
İki sıfır günlük düzeltmeden ilki, Microsoft Office için ADV23003 olarak etiketlenen Derinlemesine Savunma Güncelleştirmesi biçiminde gelir.
Bu, tehdit aktörleri tarafından Microsoft Office’teki bir RCE güvenlik açığı olan ve Temmuz güncellemesinde bir düzeltme yapılmadan açıklanan CVE-2023-36884’ü hedeflemek için kullanılan açıklardan yararlanma zincirini kırdığı varsayılan bir dizi hafifletmedir ve bir güvenlik görevlisi tarafından kötüye kullanıldığı bilinmektedir. Rus istihbarat teşkilatlarıyla bağlantılı tehdit aktörü.
Ayrı olarak, bu güvenlik açığından etkilenen birden çok ürün için yamalar artık mevcuttur ve uygulanmalıdır.
Ivanti’de güvenlik ürünleri başkan yardımcısı Chris Goett, ADV23303 sürümünün önemini açıkladı. “Microsoft, CVE-2023-36884’te listelenen etkilenen ürünleri, orijinal olarak CVE’de listelenen Office ürünlerini kaldırarak güncelledi” dedi.
“ADV230003’te listelenen Office ürünleri doğrudan savunmasız değildir, ancak CVE-2023-36884’ten yararlanmak için bir saldırı zincirinde kullanılabilir. Microsoft, Office güncellemelerindeki değişikliklerin bir Derinlemesine Savunma ölçüsü olduğunu açıkladı.
“Microsoft, Ağustos Windows işletim sistemi güncellemelerine ek olarak danışma belgesinde tartışılan Office güncellemelerinin uygulanmasını tavsiye ediyor” diye ekledi.
İkinci sıfır gün, .NET ve Visual Studio’daki bir hizmet reddi güvenlik açığı olan CVE-2023-38180 olarak izlenir. Düşük karmaşıklığa sahip olduğu kabul edilir ve yararlanmak için özel ayrıcalıklar veya kullanıcı etkileşimi gerektirmez.
Immersive Labs siber güvenlik mühendisi Nikolas Cemerikic, güvenlik açığının kapsamını açıkladı.
“Bir hizmet reddi (DoS) saldırısı, işlem gücü, bellek veya ağ bant genişliği gibi mevcut kaynaklarını tüketen aşırı miktarda istekle aşırı çalıştırmayı içerir. Sonuç olarak, uygulama meşru kullanıcı isteklerini yerine getiremez hale geliyor ve normal işlevselliğini sınırlıyor” dedi.
“Ağ üzerinde uygun şekilde konumlandırılmış bir saldırganın bu güvenlik açığından yararlanması halinde, aynı sistem üzerinde yer alan ve .NET çerçevesine bağlı olan Visual Studio uygulaması veya uygulamalarının çalışmaz hale gelmesine neden olacaktır.
Cemerikiç, “Saldırganın hedef sistemle aynı ağda olması gerekmesine rağmen, bu güvenlik açığı özellikle saldırganın kullanıcı ayrıcalıklarına sahip olmasını gerektirmiyor” diye ekledi.
Ivanti’den Goettl, Computer Weekly’ye e-postayla gönderilen yorumlarda, “CVE ayrıntılarına göre kod olgunluğu kavram kanıtına ulaştı ve vahşi ortamda istismar edildiği onaylandı” dedi.
“CVE yalnızca Önemli olarak derecelendirildi ve CVSS v3.1 puanı 7,5, ancak riske dayalı bir yaklaşımla bu, bu ay daha yüksek bir öncelik olarak ele alınmalıdır.”
Bu ayki altı kritik güvenlik açığının tümü RCE kusurları, üçü Microsoft Message Queuing’de – CVE-2023-35385, CVE-2023-36910 ve CVE-2023-36911; Microsoft Teams içinde iki – CVE-2023-29328 ve CVE-2023-29330; ve biri Microsoft Outlook içinde – CVE-2023-36895.
Trend Micro’nun Zero Day Initiative’inden Dustin Childs, Microsoft Teams güvenlik açıkları varken bir dizi PoC zaten dolaşımda olduğundan, kapsamları daha az dramatik olan diğerlerinin de bulunduğu Microsoft Message Queuing hatalarının büyük olasılıkla kısa sürede istismar edileceğini söyledi. Her ikisi de 2023 Pwn2Own etkinliğinde gösterilen diğerleriyle benzerlikler taşıdığı için dikkat etmeye değer.
Ayrıca bu ay Microsoft Exchange Server’daki altı açıktan oluşan bir dizi de dikkat çekiyor. Bunların en önemlisi ayrıcalık yükselmesi (EoP) güvenlik açığı olan CVE-2023-21709. Bu düşük karmaşıklığa sahiptir ve yararlanmak için özel ayrıcalıklar veya kullanıcı etkileşimi gerektirmez.
Tenable kıdemli araştırma mühendisi Satnam Narang şunları söyledi: “Kimliği doğrulanmamış bir saldırgan, geçerli kullanıcı hesaplarına kaba kuvvet saldırısı gerçekleştirerek bu güvenlik açığından yararlanabilir. Yüksek derecelendirmeye rağmen, kaba kuvvet saldırılarının güçlü parolalara sahip hesaplara karşı başarılı olmayacağına inanılmaktadır. Ancak, zayıf parolalar kullanılıyorsa bu, kaba kuvvet denemelerini daha başarılı hale getirir.
“Kalan beş güvenlik açığı, bir kimlik sahtekarlığı kusurundan ve birden çok uzaktan kod yürütme hatasına kadar uzanıyor, ancak grubun en ciddi olanı aynı zamanda geçerli bir hesap için kimlik bilgileri gerektiriyor” diye ekledi.