Şubat 2023 Salı Yaması, Microsoft’un aktif olarak yararlanılan üç sıfır gün kusuru (CVE-2023-21715, CVE-2023-23376, CVE-2023-21823) dahil olmak üzere 75 CVE numaralı güvenlik açığı için yamalar yayınlamasıyla geldi.
Üç sıfır gün (CVE-2023-21715, CVE-2023-23376, CVE-2023-21823)
CVE-2023-21715, saldırganların bir Microsoft Publisher güvenlik özelliğini atlamasına olanak tanıyan bir güvenlik açığı: Güvenilmeyen veya kötü amaçlı dosyaları engellemek için kullanılan Office makro ilkeleri.
“Saldırının kendisi, hedeflenen sistemde kimlik doğrulaması olan bir kullanıcı tarafından yerel olarak gerçekleştirilir. Kimliği doğrulanmış bir saldırgan, kurbanı sosyal mühendislik aracılığıyla bir web sitesinden özel hazırlanmış bir dosyayı indirip açmaya ikna ederek bu güvenlik açığından yararlanabilir ve bu da kurbanın bilgisayarında yerel bir saldırıya yol açabilir,” diye açıklıyor Microsoft.
Yerel saldırı vektörü ve güvenlik açığından yararlanmak için yükseltilmiş ayrıcalıklar ve kullanıcı etkileşimi gerekmesi nedeniyle güvenlik açığı Önemli olarak derecelendirildi. Yine de, saldırganların bir Office belgesindeki makroları kötüye kullanmasına izin veren ve bir engellemeyi tetiklemeyen herhangi bir kusur, şu anda yüksek oranda hedeflenmiş saldırılarda veya daha yaygın olarak kullanılmış olsun, hızlı bir şekilde düzeltilmelidir. Microsoft, internetten indirilen Office belgelerinde makroları varsayılan olarak engellemeye başladığından, saldırganlar yavaş yavaş makro kullanımını terk ediyor, ancak bunun gibi güvenlik açıkları, makroların hala iyi bir seçenek olmasına izin veriyor.
CVE-2023-23376, Windows Ortak Günlük Dosyası Sisteminde yer alan ve saldırganların hedef ana bilgisayarda SİSTEM ayrıcalıkları elde etmesine olanak tanıyan bir güvenlik açığıdır.
“Bu, muhtemelen kötü amaçlı yazılım veya fidye yazılımı yaymak için bir RCE hatasıyla zincirleniyor. Bunun Microsoft’un Tehdit İstihbarat Merkezi (diğer adıyla MSTIC) tarafından keşfedildiği düşünüldüğünde, gelişmiş tehdit aktörleri tarafından kullanıldığı anlamına gelebilir. Her iki durumda da, bu düzeltmeleri hızlı bir şekilde test ettiğinizden ve uyguladığınızdan emin olun,” diyor Trend Micro’dan Dustin Childs.
CVE-2023-21823, Windows Grafik Bileşeni’ndeki bir güvenlik açığıdır ve uzaktan kod yürütülmesine ve güvenlik açığı bulunan bir sistemin tamamen ele geçirilmesine neden olabilir.
Microsoft, “Microsoft Mağazası, etkilenen müşterileri otomatik olarak güncelleyecektir” diyor. Otomatik güncellemeleri devre dışı bırakanlar, bunları Microsoft Mağazası aracılığıyla almalıdır (şu adrese gidin: Kitaplık > Güncellemeleri al > Tümünü güncelle).
Ne yazık ki Microsoft, bu güvenlik açıklarının kullanıldığı saldırılarla ilgili herhangi bir ayrıntı paylaşmadı.
Dikkat edilmesi gereken diğer güvenlik açıkları
Childs, yöneticilere Microsoft Word’deki kritik bir RCE olan CVE-2023-21716’yı hızlı bir şekilde yamalamalarını tavsiye ediyor ve sistem tarafından yalnızca Önizleme Bölmesini açarak istismar edilebilir.
Microsoft, “Kimliği doğrulanmamış bir saldırgan, kötü amaçlı dosyayı açmak için kullanılan uygulama içinde komutları yürütmek için erişim elde etmelerine izin verecek bir RTF yükü içeren kötü amaçlı bir e-posta gönderebilir” dedi.
Birkaç Microsoft Exchange Server RCE hatası, saldırganın istismardan önce kimlik doğrulaması yapmasını gerektirir, ancak saldırganların Exchange sunucularını hedefleme tercihi göz önüne alındığında, yöneticiler de bu yamalara öncelik vermelidir.