Microsoft’un Temmuz güvenlik güncelleştirmesi, beşi saldırganların zaten aktif olarak vahşi ortamda istismar ettiği 130 benzersiz güvenlik açığı için düzeltmeler içeriyor.
Şirket, kusurlardan dokuzunu kritik önemde ve 121’ini orta veya önemli düzeyde olarak derecelendirdi. Güvenlik açıkları, Windows, Office, .Net, Azure Active Directory, Yazıcı Sürücüleri, DMS Sunucusu ve Uzak Masaüstü dahil olmak üzere çok çeşitli Microsoft ürünlerini etkiler. Güncelleme, uzaktan kod yürütme (RCE) kusurları, güvenlik atlama ve ayrıcalık yükseltme sorunları, bilgi ifşa hataları ve hizmet reddi güvenlik açıklarının olağan karışımını içeriyordu.
“Bu düzeltme hacmi, son birkaç yılda gördüğümüz en yüksek seviye olmasına rağmen,‘Trend Micro’nun Zero Day Initiative (ZDI) güvenlik araştırmacısı Dustin Childs bir blog yazısında, “Microsoft’un Black Hat USA konferansından hemen önce çok sayıda yama gönderdiğini görmek alışılmadık bir durum değil,” dedi.
Güvenlik araştırmacılarına göre, yama önceliklendirme açısından Microsoft’un bu hafta açıkladığı beş sıfır gün, acil ilgiyi hak ediyor.
Bunların en ciddisi, Office ve Windows HTML’de bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-36884’tür ve Microsoft’un bu ayki güncellemede bunun için bir yaması yoktur. Şirket, takip ettiği bir tehdit grubu olan Storm-0978’in Kuzey Amerika ve Avrupa’daki hükümet ve savunma kuruluşlarını hedef alan bir kimlik avı kampanyasındaki açıktan yararlandığını belirledi.
Kampanya, Ukrayna Dünya Kongresi ile ilgili temalara sahip Windows belgeleri aracılığıyla RomCom adlı bir arka kapı dağıtan tehdit aktörünü içeriyor. “Fırtına-0978‘Microsoft, Temmuz güvenlik güncellemesine eşlik eden bir blog yazısında, “Microsoft’un hedeflenen operasyonları, başta Ukrayna’daki hükümet ve askeri kuruluşları ve ayrıca Avrupa ve Kuzey Amerika’daki potansiyel olarak Ukrayna işlerine karışan kuruluşları etkiledi.” ve diğerleri arasında finans endüstrileri.”
ZDI’da başka bir araştırmacı olan Dustin Childs, Microsoft’un kendisi görece daha az ciddi, “önemli” bir hata olarak değerlendirmesine rağmen kuruluşları CVE-2023-36884’ü “kritik” bir güvenlik sorunu olarak ele almaları konusunda uyardı. “Microsoft, bu CVE’yi yayınlamak gibi garip bir eylemde bulundu. olmadan bir yama. O‘Hala gelecek,” diye yazdı Childs bir blog yazısında. “Açıkçası, orada‘bu istismara söylenenden çok daha fazlası.”
Aktif olarak istismar edilen beş güvenlik açığından ikisi, güvenlik baypas kusurlarıdır. Biri Microsoft Outlook’u (CVE-2023-35311) etkiler ve diğeri Windows SmartScreen’i (CVE-2023-32049) içerir. Her iki güvenlik açığı da kullanıcı etkileşimi gerektirir; bu, bir saldırganın yalnızca bir kullanıcıyı kötü amaçlı bir URL’yi tıklamaya ikna ederek bunlardan yararlanabileceği anlamına gelir. CVE-2023-32049 ile bir saldırgan, Dosya Aç – Güvenlik Uyarısı istemini atlayabilirken, CVE-2023-35311, saldırganlara Microsoft Outlook Güvenlik Bildirimi istemiyle saldırılarını gizlemenin bir yolunu sunar.
“Not etmek önemlidir [CVE-2023-35311] Action1 güvenlik açığı ve tehdit araştırmasından sorumlu başkan yardımcısı Mike Walters, “Bu nedenle, saldırganlar, kapsamlı bir saldırı için muhtemelen onu diğer açıklardan yararlanma yöntemleriyle birleştirir. Güvenlik açığı, 2013’ten itibaren Microsoft Outlook’un tüm sürümlerini etkiliyor” dedi.
Immersive Labs siber tehdit araştırma direktörü Kev Breen, sıfır günü atlayan diğer güvenliği değerlendirdi — CVE-2023-32049 — tehdit aktörlerinin büyük olasılıkla daha geniş bir saldırı zincirinin parçası olarak kullanacakları başka bir hata olarak.
Microsoft’un en son yama setindeki diğer iki sıfır gün, her ikisi de ayrıcalık yükseltmeyi mümkün kılar. Google’ın Tehdit Analizi Grubundaki araştırmacılar bunlardan birini keşfetti. CVE-2023-36874 olarak izlenen kusur, Windows Hata Raporlama (WER) hizmetinde, saldırganlara savunmasız sistemlerde yönetici hakları elde etme yolu sağlayan bir ayrıcalık yükselmesi sorunudur. Saldırganın, diğer açıklardan yararlanma veya kimlik bilgilerini kötüye kullanma yoluyla elde edebileceği kusurdan yararlanmak için etkilenen bir sisteme yerel erişime ihtiyacı olacaktır.
Automox’ta bir güvenlik araştırmacısı olan Tom Bowyer, “WER hizmeti, Microsoft Windows işletim sistemlerinde bulunan ve belirli yazılımlar çöktüğünde veya başka türde hatalarla karşılaştığında hata raporlarını otomatik olarak toplayan ve Microsoft’a gönderen bir özelliktir” dedi. “Bu sıfır gün güvenlik açığı aktif olarak kullanılıyor, bu nedenle kuruluşunuz tarafından WER kullanılıyorsa, 24 saat içinde yama yapmanızı öneririz” dedi.
Saldırganların zaten aktif olarak istismar ettiği Temmuz güvenlik güncelleştirmesindeki diğer ayrıcalık yükseltme hatası, Microsoft’un Windows MSHTM platformunda, diğer adıyla “Trident” tarayıcı oluşturma motorunda bulunan CVE-2023-32046’dır. Diğer birçok hatada olduğu gibi, bu da bir düzeyde kullanıcı etkileşimi gerektirir. Hatadan yararlanmak için bir e-posta saldırısı senaryosunda, saldırganın hedeflenen bir kullanıcıya özel hazırlanmış bir dosya göndermesi ve kullanıcının dosyayı açmasını sağlaması gerekir. Microsoft, Web tabanlı bir saldırıda, bir saldırganın özel hazırlanmış bir dosyayı barındırmak için kötü amaçlı bir web sitesi barındırması veya güvenliği ihlal edilmiş bir web sitesini kullanması ve ardından kurbanı bu web sitesini açmaya ikna etmesi gerektiğini söyledi.
Windows Yönlendirme, Uzaktan Erişim Hizmetinde RCE’ler
Güvenlik araştırmacıları, Windows Yönlendirme ve Uzaktan Erişim Hizmeti’ndeki (RRAS) (CVE-2023-35365, CVE-2023-35366 ve CVE-2023-35367) üç RCE güvenlik açığının tümü kadar öncelikli ilgiyi hak ettiğini belirtti. Microsoft, üç güvenlik açığını da kritik olarak değerlendirdi ve üçünün de CVSS puanı 9,8. Automox’tan Bowyer, hizmetin Windows Server’da varsayılan olarak bulunmadığını ve temel olarak işletim sistemini çalıştıran bilgisayarların yönlendiriciler, VPN sunucuları ve çevirmeli ağ sunucuları olarak işlev görmesini sağladığını söyledi. “Başarılı bir saldırgan, ağ yapılandırmalarını değiştirebilir, verileri çalabilir, diğer daha kritik/önemli sistemlere geçebilir veya cihaza kalıcı erişim için ek hesaplar oluşturabilir.“
SharePoint Sunucu Kusurları
Microsoft’un devasa Temmuz güncellemesi, son zamanlarda popüler bir saldırgan hedefi haline gelen SharePoint sunucusundaki dört RCE güvenlik açığı için düzeltmeler içeriyordu. Microsoft, hatalardan ikisini “önemli” (CVE-2023-33134 ve CVE-2023-33159) ve diğer ikisini “kritik” (CVE-2023-33157 ve CVE-2023-33160) olarak derecelendirdi. Silverfort kıdemli araştırmacısı Yoav Iellin, “Hepsi saldırganın kimliğinin doğrulanmasını veya kullanıcının, şans eseri ihlal riskini azaltan bir eylem gerçekleştirmesini gerektiriyor” dedi. “Yine de, SharePoint hassas veriler içerebileceğinden ve genellikle kuruluş dışından açığa çıktığından, şirket içi veya hibrit sürümleri kullananlar güncelleme yapmalıdır.”
Cyolo araştırma başkanı Dor Dali, FEDRAMP, PCI, HIPAA, SOC2 ve benzeri düzenlemelere uymak zorunda olan kuruluşların CVE-2023-35332’ye dikkat etmesi gerektiğini söyledi: Windows Uzak Masaüstü Protokolü Güvenlik Özelliğini Atlama kusuru. Güvenlik açığının, kuruluşlar için önemli güvenlik ve uyumluluk riski oluşturan Datagram Aktarım Katmanı Güvenliği (DTLS) sürüm 1.0 dahil olmak üzere eski ve kullanımdan kaldırılmış protokollerin kullanımıyla ilgili olduğunu söyledi. Bir kuruluşun hemen güncelleme yapamadığı durumlarda RDP ağ geçidinde UDP desteğini devre dışı bırakması gerektiğini söyledi.
Ayrıca Microsoft, Microsoft tarafından sertifikalandırılmış sürücüleri kullanan tehdit aktörleri hakkındaki son raporlara yönelik soruşturmasına ilişkin bir danışma belgesi yayınladı.‘İstismar sonrası etkinlikte Windows Donanım Geliştirici Programı (MWHDP).