Temmuz 2023 Salı Yaması için Microsoft 130 yama yayınladı; Bunların arasında saldırganlar tarafından aktif olarak yararlanılan güvenlik açıkları için dört tane var, ancak Avrupa ve Kuzey Amerika’daki savunma ve devlet kurumlarına yönelik hedefli saldırılarda yararlanılan bir Office ve Windows HTML RCE güvenlik açığı olan CVE-2023-36884 için yama yok.
CVE-2023-36884 hakkında
“Microsoft, Windows ve Office ürünlerini etkileyen bir dizi uzaktan kod yürütme güvenlik açığı raporlarını araştırıyor. Microsoft, özel olarak hazırlanmış Microsoft Office belgelerini kullanarak bu güvenlik açıklarından yararlanmaya çalışan hedefli saldırıların farkındadır.”
Microsoft, Google Tehdit Analizi Grubu ve Volexity araştırmacıları tarafından bildirilen CVE-2023-36884, görünüşte Ukrayna Dünya Kongresi ile ilgili bubi tuzaklı Microsoft Word belgeleri aracılığıyla kötüye kullanıldı.
“Storm-0978 (DEV-0978; diğer satıcılar tarafından arka kapılarının adı olan RomCom olarak da anılır), Rusya merkezli, fırsatçı fidye yazılımı ve yalnızca gasp operasyonlarının yanı sıra hedeflenen kimlik bilgileri yürüttüğü bilinen bir siber suç grubudur. -muhtemelen istihbarat operasyonlarını destekleyen kampanyalar toplamak,” Microsoft Tehdit İstihbaratı paylaştı.
“Storm-0978, RomCom arka kapısını çalıştırır, geliştirir ve dağıtır. Oyuncu ayrıca, ilk olarak Mayıs 2022’de vahşi doğada gözlemlenen Industrial Spy fidye yazılımıyla yakından ilişkili olan Underground fidye yazılımını da kullanıyor. ”
Daha önce, BlackBerry araştırmacıları RomCom tarafından aynı kampanyalarda kullanılmış gibi görünen iki kötü amaçlı belge keşfettiklerini paylaşmışlardı.
İyi haber (kurumsal kullanıcılar ve tüketiciler için), saldırıların yüksek oranda hedeflenmiş olmasıdır. Kötü haber şu ki, Microsoft henüz bu sorun için yamalar yayınlamadı.
Trend Micro Inc.’in Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs, Microsoft’un bu sorunu “Önemli” olarak kabul etmesine karşın, yöneticilerin sorunu “Kritik” olarak ele almaları gerektiğini söylüyor. Microsoft, düzeltmeler hazır olana kadar kötüye kullanım riskini azaltmak için azaltma önerilerinde bulundu.
Microsoft Tehdit İstihbaratı, “Belirlenen yararlanma etkinliği, Haziran 2023’te Microsoft Word belgeleri aracılığıyla yararlanılan bir uzaktan kod yürütme güvenlik açığı da dahil olmak üzere CVE-2023-36884’ün kötüye kullanılmasının yanı sıra bir güvenlik özelliğinin atlanmasına katkıda bulunan güvenlik açıklarının kötüye kullanılmasını içerir” dedi.
(Bahsettikleri güvenlik açıklarını atlayan güvenlik özelliklerinden biri, yamaları bugün yayınlanan CVE-2023-32049 olabilir mi? Microsoft söylemiyor.)
Diğer istismar edilen güvenlik açıkları
CVE-2023-32049, saldırganların Dosya Aç – Güvenlik Uyarısı istemini atlamasına olanak tanıyan bir güvenlik açığıdır. Microsoft Tehdit İstihbaratı ve Microsoft Office Ürün Grubu güvenlik ekibi tarafından işaretlenen bu sistemden yararlanmak için kullanıcı etkileşimi gerekir.
Ancak yine de istismar ediliyor ve yama yapmak bir öncelik olmalı.
Microsoft ayrıca yama yaptı:
- Microsoft Outlook Güvenlik Bildirimi istemini atlamak için kullanılan bir güvenlik açığı olan CVE-2023-35311
- CVE-2023-36874, Windows Hata Raporlama Hizmeti’ndeki bir ayrıcalık yükselmesi (EoP) kusuru, yönetici ayrıcalıkları elde etmek için kullanıldı (istismar Google TAG araştırmacıları tarafından bildirildi)
- CVE-2023-32046, Windows MSHTML Platformunda saldırganların etkilenen uygulamayı çalıştıran kullanıcının haklarını ele geçirmesine izin veren bir EoP güvenlik açığı
Kötü niyetli imzalı sürücüleri kaldırma
Tenable’da kıdemli personel araştırma mühendisi Satnam Narang, “Microsoft ayrıca Microsoft Windows Donanım Geliştirici Programı (MWHDP) aracılığıyla imzalı sürücülerin kötü amaçlı kullanımına ilişkin bir kılavuz yayınladı” dedi.
“Bazı Microsoft İş Ortağı Merkezi geliştirici hesaplarının, Microsoft imzası kazanmak için kötü amaçlı sürücüler gönderdiği belirlendi. Bu imzalı sürücülerin kötüye kullanıldığı, bir saldırganın kötü niyetli imzalı sürücüleri çalıştırmadan önce hedeflenen sistemde yönetici ayrıcalıkları elde etmesini gerektiren istismar sonrası faaliyetin bir parçası olarak keşfedildi.”
Microsoft, 9 Şubat 2023’te Sophos tarafından bu etkinlikten haberdar edildiklerinde konuyla ilgili inceleme başlattıklarını ve Trend Micro ile Cisco’nun ek ayrıntılar içeren raporlar yayınladıklarını söylüyor.
Şirket, “Bu olaya karışan tüm geliştirici hesapları derhal askıya alındı” diye ekledi. “Yeni Microsoft algılamalarının uygulandığı 2 Mart 2023’ten önce kurulmuş olabilecek kötü amaçlı sürücüleri algılamak için çevrimdışı taramalar gerekecek.”
İmzalı sürücüler, Çin’deki çevrimiçi oyuncuları hedef alan saldırılarda kullanılmış gibi görünüyor.