Ocak 2023 Salı Yamasını kutlamak için Microsoft, biri vahşi ortamda kullanılan (CVE-2023-21674) ve biri (CVE-2023-21549) dahil olmak üzere kamuya açıklanan 98 CVE numaralı güvenlik açığı için yamalar yayınladı. Her ikisi de saldırganların savunmasız makinede ayrıcalıkları yükseltmesine izin verir.
Not güvenlik açıkları
CVE-2023-21674, Windows Gelişmiş Yerel Yordam Çağrısı’ndaki (ALPC) bir güvenlik açığıdır ve bu güvenlik açığı, tarayıcı sanal alanından kaçışa yol açabilir ve saldırganların çok çeşitli Windows ve Windows Server yüklemelerinde SİSTEM ayrıcalıkları kazanmasına olanak verebilir.
“Bu tür hatalar, kötü amaçlı yazılım veya fidye yazılımı dağıtmak için genellikle bir tür kod zorlamayla eşleştirilir. Bunun Avast’tan araştırmacılar tarafından Microsoft’a bildirildiği düşünüldüğünde, bu senaryo muhtemelen burada görünüyor,” dedi Trend Micro’dan Dustin Childs. Bunu yamalamak bir öncelik olmalı.
Tenable’da kıdemli personel araştırma mühendisi olan Satnam Narang’a göre, CVE-2023-21674 gibi güvenlik açıkları, genellikle hedefli saldırıların bir parçası olarak gelişmiş kalıcı tehdit (APT) gruplarının işidir. “Tarayıcılara yama uygulamak için kullanılan otomatik güncelleme işlevi nedeniyle, bunun gibi bir istismar zincirinin gelecekte yaygın olarak kullanılması olasılığı sınırlıdır” diye ekledi.
Genel olarak duyurulan bir güvenlik açığı olan Windows SMB Witness’taki CVE-2023-21549’un, saldırı karmaşıklığı ve gereken ayrıcalıklar düşük olmasına ve hiçbir kullanıcı etkileşimi gerekmemesine rağmen, görünüşe göre en son Windows ve Windows Server sürümlerinde istismar edilme olasılığı daha düşük.
Saldırgan, bu güvenlik açığından yararlanmak için, bir RPC ana bilgisayarına RPC çağrısı yürüten, özel olarak hazırlanmış kötü amaçlı bir komut dosyası yürütebilir. Bu, sunucuda ayrıcalık yükselmesine neden olabilir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, yalnızca ayrıcalıklı hesaplarla sınırlı olan RPC işlevlerini yürütebilir,” diye açıkladı Microsoft.
Ancak CVE-2023-21549, bazıları için bir yama önceliği olabilirken, Microsoft SharePoint Server’daki bir güvenlik özelliği baypas güvenlik açığı olan CVE-2023-21743, birçok kişi tarafından hızla düzeltilmelidir.
“Kritik Dereceli Güvenlik Özelliğini Atlamayı (SFB) nadiren görürsünüz, ancak bu uygun görünüyor. Bu hata, kimliği doğrulanmamış uzak bir saldırganın etkilenen bir SharePoint sunucusuyla anonim bir bağlantı kurmasına izin verebilir,” diyen Childs, sistem yöneticilerinin de bu güvenlik açığından tamamen korunmak için bir SharePoint yükseltme eylemini tetiklemesi gerektiğini vurguladı.
Saldırgan, SharePoint’teki korumayı atlayarak IP aralığına dayalı HTTP isteğini engelleyebilir. Bir saldırgan bu güvenlik açığından başarıyla yararlanırsa, engellenen IP aralığında bir HTTP uç noktasının varlığını veya yokluğunu doğrulayabilir. Ek olarak, güvenlik açığı, saldırganın hedef Sharepoint sitesine okuma erişimine sahip olmasını gerektiriyor,” dedi Automox Kıdemli Ürün Müdürü Preetham Gurram.
Şirket içi Microsoft Exchange Sunucularına yama uygulamaktan sorumlu yöneticiler, Kasım 2022’de yayınlanan başarısız bir yamadan kaynaklanan iki EoP güvenlik açığını (CVE-2023-21763/CVE-2023-21764) yamalamak için hızla hareket etmelidir.
Yamaların geri kalanı, Windows Yazdırma Biriktiricisi (bunlardan biri NSA tarafından rapor edilmiştir), Windows çekirdeği ve diğer çözümlerdeki güvenlik açıklarını düzeltmeyi amaçlamaktadır. Saldırganların sistem depolama aygıtındaki BitLocker Aygıt Şifreleme özelliğini atlayarak şifrelenmiş verilere erişim elde etmelerine olanak tanıyan iki ilginç kusur da (CVE-2023-21560, CVE-2023-21563) vardır, ancak yalnızca fiziksel olarak mevcutlarsa.
Güvenli Windows 7 kullanımı için yolun sonu
Son olarak, Microsoft’un bugün Windows 7 için genişletilmiş güvenlik desteğini sonlandırdığını bir kez daha yinelemek gerekiyor.
“Microsoft’un Windows 7 ve Server 2008/2008 R2 Genişletilmiş Güvenlik Güncelleştirmesi (ESU) programına başlamasının üzerinden üç yıl geçti ve bu işletim sistemleri için son güvenlik güncelleştirmeleri önümüzdeki hafta yayınlanacak. Ivanti Güvenlikten Sorumlu Kıdemli Ürün Müdürü Todd Schell, son tarihin çok ötesinde çalışmaya devam edecek olsalar da, yeni güvenlik açıkları keşfedilmeye devam edecek ve bu sistemler giderek artan istismar riski altında çalışacak” dedi.
Microsoft, makinelerin donanımına bağlı olarak Windows 7’den geçiş yapmak isteyenler için çeşitli seçenekler sunmuştur.
Windows 8.1 için uzatılmış bitiş tarihi de bugün. Microsoft, “Bu tarihten sonra bu ürün artık güvenlik güncelleştirmeleri, güvenlikle ilgili olmayan güncelleştirmeler, hata düzeltmeleri, teknik destek veya çevrimiçi teknik içerik güncelleştirmeleri almayacaktır.”