Microsoft, aylık Yama Salı güncellemesinde ele alınan toplam 80’den fazla hata arasında iki sıfır gün güvenlik açığı için yamalar yayınladı.
Github tarafından atanan dört CVE’yi içeren sorun sayısı, uzaktan kod yürütme (RCE) sorunlarına yönelik bir başka yoğun eğilimle birlikte, yılın ilk iki ayında görülen açıklama hacimleriyle aşağı yukarı aynı seviyede.
Ivanti güvenlik ürünleri başkan yardımcısı Chris Goettl, “Microsoft bu ay 80 yeni CVE’yi çözüme kavuşturdu ve daha önce yayımlanmış dört CVE’yi ek Windows sürümlerini içerecek şekilde genişletti” dedi. “Bu, bu ay ele alınan CVE’lerin toplam sayısını 84’e çıkarıyor. Bu ayın Microsoft Office ve Windows Smart Screen’i etkileyen güncellemelerinde çözüldüğü onaylanmış iki sıfır gün açığı var. Her iki istismar da kullanıcı hedeflidir. Bu ay kritik olarak derecelendirilen toplam dokuz CVE var. Dokuz kritik CVE’den sekizi bu ay Windows işletim sistemi güncellemesinde.”
CVE-2023-23397 olarak izlenen Outlook güvenlik açığından yararlanılıyor ancak şu ana kadar kamuoyuna duyurulmadı. 9.1 CVSS puanı taşır ve önemli şiddettedir. Bu, potansiyel bir hedefe e-posta gönderilerek yararlanılabilen bir ayrıcalık yükselmesi (EoP) güvenlik açığıdır.
E-posta sunucusu tarafında tetiklenir, yani e-posta gerçekten açılıp görüntülenmeden önce kötüye kullanılabilir. Başarıyla kötüye kullanıldığında, kimliği doğrulanmamış bir aktörün kurbanın Net-NTLMv2 hash’ine erişmesine ve kimlik doğrulama önlemlerini atlayarak kurban olarak kimlik doğrulaması yapmak için bunu kullanmasına olanak tanır.
Immersive Labs siber tehdit araştırma direktörü Kev Breen, CVE-2023-23397’nin özellikle tehlikeli olduğunu söyledi ve ayrıca EoP hatası olarak atanmış durumunun bunu tam olarak yansıtmadığını belirtti.
“NTLM geçiş saldırısı olarak bilinen bu saldırı, bir saldırganın birinin NTLM hash’ini almasına ve bunu genellikle Pass the Hash olarak bilinen bir saldırıda kullanmasına olanak tanır” dedi. “Güvenlik açığı, saldırganın, kişinin parolasını bilmesine gerek kalmadan güvenilir bir kişi olarak kimlik doğrulamasını etkili bir şekilde sağlar. Bu, bir saldırganın bir kuruluşun sistemlerine erişimi olan geçerli bir parolaya sahip olmasıyla eşittir.”
Keşfi, Microsoft’un Ukrayna’nın ulusal CERT’si ile birlikte çalışan Olay Müdahale ve Tehdit İstihbaratı ekiplerine borçludur, bu da Rus devlet aktörleri tarafından devam eden siber savaş kampanyalarında istismar edildiği anlamına gelir.
Rapid7 baş yazılım mühendisi Adam Barnett şunları söyledi: “Microsoft, Avrupa’daki hükümet, askeri ve kritik altyapı hedeflerini hedef alan Rusya merkezli bir tehdit aktörü tarafından vahşi bir istismar tespit etti. Ağ saldırı vektörü, SMB paylaşımlarının her yerde bulunması ve gerekli kullanıcı etkileşiminin olmaması göz önüne alındığında, bir ağ üzerinde uygun bir dayanağı olan bir saldırgan, bu güvenlik açığını yanal hareket için birincil aday olarak değerlendirebilir.”
İkinci sıfır gün, CVE-2023-24880 olarak izlenir. Halka açık ve vahşi doğada istismar edildiği biliniyor. Windows SmartScreen kimlik avı önleme ve kötü amaçlı yazılımdan koruma hizmetindeki güvenlik açığını atlayan bir güvenlik özelliği, 5.4 CVSS puanı taşır ve orta düzeyde önem derecesine sahiptir.
Adressiz bırakıldığında, CVE-2023-24880, bir saldırganın Web’in İşareti savunmasını atlayan bir dosya oluşturmasına izin vererek, SmartScreen’in başka türlü tespit edebileceği bozuk belgeleri ve kötü amaçlı yazılımları yaymalarını çok daha kolaylaştırır.
Breen, daha az ciddi bir derecelendirmeye sahip olsa da, savunucuların bunu düzeltmeye öncelik vermesi gerektiğini söyledi. “Microsoft’tan alınan notlar, bir saldırganın Microsoft Office’teki ‘korumalı görünüm’ gibi bazı güvenlik özelliklerini devre dışı bırakacak kötü amaçlı bir dosya oluşturabileceğini söylüyor,” dedi.
Breen, “Makro tabanlı kötü amaçlı yazılımlar hâlâ sıklıkla ilk tavizlerin bir parçası olarak görülüyor ve kullanıcılar kendilerini tehlikeli dosyalardan koruyan bu istemlere alıştı” diye ekledi. “Web’in Korumalı Görünümü ve İşareti, tek bir koruma katmanı değil, derinlemesine savunma stratejinizin bir parçası olmalıdır.”
Keşfi, Google Tehdit Analizi Grubu’ndan Benoit Sevens ve Vlad Stolyarov ile Microsoft’tan Bill Demirkapi’ye borçludur.
Kritik güvenlik açıkları
Mart güncellemesinde listelenen kritik güvenlik açıkları aşağıdaki gibidir:
Bunlardan Silverfort’ta veri ve güvenlik araştırması başkanı Gal Sadeh, CVE-2023-21708 ve CVE-2023-23415’in özellikle dikkate değer olduğunu söyledi.
“Uzaktan Yordam Çağrısı Çalışma Zamanı CVE-2023-21708’deki kritik bir RCE güvenlik açığı, kimliği doğrulanmamış saldırganların hedef makinede uzak komutlar çalıştırmasına izin verdiği için güvenlik ekipleri için bir öncelik olmalıdır” dedi. “Tehdit aktörleri bunu, varsayılan olarak açık olan Etki Alanı Denetleyicilerine saldırmak için kullanabilir. Azaltmak için Etki Alanı Denetleyicilerinin yalnızca yetkili ağlardan gelen RPC’ye izin vermesini ve gereksiz uç noktalara ve sunuculara giden RPC trafiğinin sınırlandırılmasını öneririz.
“Başka bir kritik güvenlik açığı olan CVE-2023-23415, saldırganların kötü amaçlı bir paket kullanarak açıktaki sunucularda uzaktan kod yürütme elde etmek için – genellikle güvenlik duvarları tarafından kısıtlanmayan – İnternet Kontrol İletisi Protokolü’ndeki bir kusurdan yararlanmasına izin verdiği için ciddi bir risk oluşturuyor. Bir ham soketin hedeflenmesini gerektiren – bu tür bir altyapıyı kullanan herhangi bir kuruluş, güvenlik duvarında ICMP paketlerine yama yapmalı veya engellemeli, “dedi Sadeh.