Microsoft, Ekim 2023 Yaması Salı günü 103 yama yayınladı ve aktif olarak yararlanılan üç güvenlik açığını düzeltti (CVE-2023-36563, CVE-2023-41763, CVE-2023-44487).
Yararlanan sıfır günler (CVE-2023-36563, CVE-2023-41763, CVE-2023-44487)
Microsoft Threat Intelligence tarafından keşfedilen CVE-2023-36563, saldırganların NTLM karmalarını (yani Windows sistemlerindeki şifrelenmiş kullanıcı parolalarını) ele geçirmesine olanak tanıyan bir WordPad güvenlik açığıdır.
“Bu güvenlik açığından yararlanmak için bir saldırganın öncelikle sistemde oturum açması gerekir. Saldırgan daha sonra güvenlik açığından yararlanabilecek ve etkilenen sistemin kontrolünü ele geçirebilecek özel hazırlanmış bir uygulamayı çalıştırabilir. Ayrıca, bir saldırgan yerel kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna edebilir.” diye açıkladı Microsoft.
Trend Micro’nun Sıfır Gün Girişimi’nde tehdit farkındalığı başkanı Dustin Childs, yöneticilerin CVE-2023-36563 yamasını uygulamaya ek olarak Windows 11’de SMB üzerinden giden NTLM’yi engellemeyi de dikkate alması gerektiğini ve bunun “NTLM geçişi açıklarından yararlanmalarını önemli ölçüde engellemesi” gerektiğini belirtiyor. ”
CVE-2023-41763, bir saldırgan tarafından hedef Skype Kurumsal sunucusuna özel hazırlanmış bir ağ çağrısı yapılarak kullanılabilir; bu, rastgele bir adrese yapılan bir HTTP isteğinin ayrıştırılmasına ve saldırganın IP adreslerini ve/veya bağlantı noktası numaraları.
Microsoft, “Bazı durumlarda açığa çıkan hassas bilgiler iç ağlara erişim sağlayabilir” diyor ve bu nedenle kusuru ayrıcalık yükselmesi güvenlik açığı olarak sınıflandırıyor.
CVE-2023-44487, Ağustos 2023’te saldırganlar tarafından devasa, yüksek hacimli DDoS saldırıları gerçekleştirmek için kullanılan HTTP/2 protokolündeki bir güvenlik açığıdır.
Microsoft, etkilenen ürünleri için yamalar sağlamıştır: Windows 10 ve 11; Windows Sunucusu 2016, 2019 ve 2022; ASP.NET Çekirdek 7.0; Microsoft Visual Studio 2022, .NET 6.0 ve 7.0; ve ASP.NET Core 6.0.
Olası geçici çözümler de ayrıntılı olarak açıklanmıştır, ancak Microsoft, web uygulamalarını kendi kendine barındıran müşterilere, ortamlarını korumak için web sunucularına/proxy’lere mümkün olan en kısa sürede yama yapmalarını tavsiye etmektedir.
Dikkat edilmesi gereken diğer güvenlik açıkları ve VBScript’in aşamalı olarak kaldırılması
Childs, Microsoft Messenger Queuing’deki bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-35349’un, kimlik doğrulama veya kullanıcı etkileşimi gerektirmediğinden ve uzaktaki bir saldırgan tarafından gerçekleştirilebildiğinden dolayı solucan bulaştırılabilir olduğunu düşünüyor. “Sistemlerinizi mutlaka kontrol etmelisiniz. [Message Queuing is] kurun ve ayrıca çevrenizde 1801 numaralı TCP bağlantı noktasını engellemeyi düşünün,” diye tavsiyede bulunuyor.
Bu ay, PowerShell uzaktan iletişim oturumu aracılığıyla uzaktan kod yürütmek için kullanılabilecek bir Exchange Server hatası (CVE-2023-36778) düzeltildi. Ancak bunu yapmak için saldırganın LAN erişimiyle kimliğinin doğrulanması ve geçerli bir Exchange kullanıcısı için kimlik bilgilerine sahip olması gerekir.
Exchange ekibi ayrıca şirket içi Exchange sunucuları veya Exchange Yönetim araçları iş istasyonlarını çalıştıran kuruluşların incelemesi gereken bir blog yazısı da yayınladı.
Son olarak Microsoft, bugün, genellikle kötü amaçlı yazılım dağıtımı için kullanılan VBScript’in kullanımdan kaldırıldığını duyurdu.
Şirket, “Windows’un gelecek sürümlerinde, VBScript, işletim sisteminden kaldırılmadan önce isteğe bağlı bir özellik olarak sunulacak” dedi.