CVE-2022-44698
CVE-2022-44698, Windows 7 ve Windows Server 2008 R2’den başlayarak tüm Windows işletim sistemi sürümlerini etkiler.
“Güvenlik açığının karmaşıklığı düşük. Ağ vektörünü kullanır ve ayrıcalık artışı gerektirmez. Ancak, kullanıcı etkileşimine ihtiyaç duyar; Action1’de Güvenlik Açığı ve Tehdit Araştırmasından Sorumlu Başkan Yardımcısı Mike Walters, Help Net Security’ye verdiği demeçte, saldırganların güvenlik özelliği atlamasından yararlanmak için kimlik avı e-postaları veya diğer sosyal mühendislik biçimleri yoluyla bir kurbanı kötü amaçlı bir web sitesini ziyaret etmesi için kandırması gerekiyor.
“Bir tehdit aktörü, Web İşareti (MOTW) savunmalarından kaçabilecek kötü amaçlı bir dosya oluşturabilir ve bu da MOTW etiketlemesine dayanan güvenlik özelliklerinin (örneğin, Microsoft Office’teki ‘Korumalı Görünüm’) sınırlı bir bütünlük ve kullanılabilirlik kaybına neden olabilir. . Bu sıfır gün, 5.4 gibi orta düzeyde bir CVSS risk puanına sahiptir, çünkü yalnızca RCE veya DoS işlevselliği olmayan Microsoft Defender SmartScreen savunma mekanizmasından kaçınmaya yardımcı olur.
Notun diğer sabit güvenlik açıkları
CVE-2022-41076, yükseltilmiş ayrıcalıklara sahip olmayan ancak hedef ortamı hazırlamak için istismardan önce ek eylemler gerçekleştirmesi gereken saldırganlar tarafından tetiklenebilen bir PowerShell RCE’dir.
Microsoft, “Kimliği doğrulanmış bir saldırgan, PowerShell Uzak Oturum Yapılandırmasından kaçabilir ve hedef sistemde onaylanmamış komutlar çalıştırabilir” dedi. Bu komut dosyası oluşturma aracının genellikle saldırganlar tarafından kötüye kullanıldığı göz önüne alındığında, herkesin bu düzeltmeye öncelik vermesi gerekir.
Trend Micro’dan Dustin Childs ayrıca Mac için Microsoft Outlook’u etkileyen bir kimlik sahtekarlığı güvenlik açığı olan CVE-2022-44713’ü potansiyel olarak çok tehlikeli ve kimlik avcıları için ideal olarak seçti.
“Bu güvenlik açığı, bir saldırganın olmaması gerektiği halde güvenilir bir kullanıcı olarak görünmesine izin verebilir. Şimdi bunu SmartScreen Mark of the Web atlaması ile birleştirin ve ‘Executive_Compensation.xlsx’ başlıklı bir ek ile patronunuzdan geliyormuş gibi görünen bir e-posta aldığınız bir senaryo bulmak zor değil. Bu senaryoda o dosyayı açmayacak pek kimse yok” dedi.
SharePoint yöneticileri, şans eseri özel izinler ve istismar öncesi kimlik doğrulaması gerektiren iki RCE’yi (CVE-2022-44690 ve CVE-2022-44693) düzeltmelidir.
Microsoft tarafından imzalanmış kötü amaçlarla kullanılan sürücüler
Ekim ayı sonlarında Microsoft, Microsoft’un Windows Donanım Geliştirici Programı tarafından onaylanan sürücülerin (Küba) fidye yazılımı saldırılarıyla ilgili istismar sonrası faaliyetlerde kötü niyetli olarak kullanıldığı konusunda uyarıldı.
Microsoft, “Bu saldırılarda, saldırgan, güvenliği ihlal edilmiş sistemlerde sürücüleri kullanmadan önce zaten yönetici ayrıcalıkları elde etmişti” dedi.
Microsoft’un konuyla ilgili araştırması, Microsoft İş Ortağı Merkezi için birkaç geliştirici hesabının, EDR aracılarını hedeflenen uç noktalarda sonlandırabilmeleri için Microsoft tarafından imzalatmak amacıyla kötü amaçlı sürücüler gönderdiğini ortaya çıkardı.
Şirket, “Müşterileri bu tehditten korumaya yardımcı olmak için ortakların satıcı hesaplarını askıya aldık ve engelleme tespitleri uyguladık” dedi.
“Microsoft, etkilenen dosyalar için sertifikayı iptal eden ve ortakların satıcı hesaplarını askıya alan Windows Güvenlik Güncelleştirmeleri yayınladı. Ek olarak Microsoft, müşterilerin açıklardan yararlanma sonrası faaliyetlerde kötü amaçlarla kullanılmış yasal olarak imzalanmış sürücülerden korunmasına yardımcı olmak için engelleme algılamaları (Microsoft Defender 1.377.987.0 ve daha yenisi) uygulamıştır.”
Kullanıcılara ve yöneticilere en son Windows güncellemelerini yüklemeleri ve virüsten koruma ve uç nokta algılama ürünlerinin güncel ve etkin olduğundan emin olmaları önerilir.
Bu güncellemelerin ve danışma belgesinin yayınlanmasının ardından Mandiant, Sophos ve SentinelOne, bu özel saldırı alanıyla ilgili araştırmalarını yayınladılar.
Mandiant araştırmacıları, “Belirli tehdit aktörleriyle ilişkili birkaç farklı kötü amaçlı yazılım ailesi, bu süreçle imzalandı” dedi ve “onay imzalı kötü amaçlı yazılımla ilişkili en az dokuz benzersiz kuruluş adı belirlediklerini” belirtti.