Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Salı Yaması, 8’i Kritik Olanlar Dahil Olmak Üzere 80 Güvenlik Açığı Adresini Düzeltiyor
Prajeet Nair (@prajeetspeaks) •
15 Mart 2023
Microsoft’un Mart ayı yama dökümü, Rus tehdit aktörlerinin Avrupalı şirketleri hedef almak için kullandığı Outlook e-posta istemcisindeki kritik bir önem sorunu da dahil olmak üzere, aktif olarak kullanılan iki sıfır gün güvenlik açığını düzeltir.
Ayrıca bakınız: Rusya-Ukrayna Savaşında Siber Savaş
Diğer sıfır gün güvenlik açığı, bulut tabanlı bir kimlik avı ve kötü amaçlı yazılımdan koruma yazılımı olan Windows SmartScreen’deki orta düzeyde ciddi bir güvenlik özelliği atlama güvenlik açığıdır.
Redmond bilgi işlem devi ayrıca dokuzu uzaktan kod yürütme, hizmet reddi veya ayrıcalık yükseltme saldırılarına izin veren kritik hatalar olarak derecelendirilen en az 78 diğer güvenlik açığı için düzeltmeler yayınladı. Yetmiş biri önemli olarak sınıflandırılır.
Rusya tarafından istismar edilen ve CVE-2023-23397 olarak izlenen sıfır gün, uzak, kimliği doğrulanmamış bir saldırganın, hedeflenen kullanıcının hashlenmiş Windows hesabı parolasını sızdırarak saldırganın izin vermesine izin veren özel hazırlanmış bir e-posta göndermesine olanak tanıyan bir Microsoft Outlook ayrıcalık yükselmesi güvenlik açığıdır. diğer sistemlerde kimlik doğrulaması yapmak için. Bu tür bir saldırı Hash’i Geçirme olarak bilinir.
Sophos, “Yetenekli bir saldırgan, e-posta sunucusu tarafından alındığında ve işlendiğinde, başka bir deyişle, bırakın açılmayı, Önizleme Bölmesine ulaşmadan önce bile güvenlik açığını tetikleyen bir e-posta gönderebilir” diye yazdı.
Mandiant, APT28 olarak bilinen ve aynı zamanda Fancy Bear olarak da bilinen Rus GRU bilgisayar korsanlığı grubunun geçen Nisan ayından bu yana güvenlik açığından yararlanarak Polonya, Ukrayna, Romanya ve Türkiye’de bulunan devlet kurumları ile lojistik, petrol, savunma ve ulaşım sektörlerine karşı konuşlandırdığını söylüyor. Çabuk yama yapın, firma tavsiye ediyor. Mandiant İstihbarat Analizi başkanı John Hultquist, “Bu, kısa vadede bolluk içinde olacak ulus-devlet aktörleri ve benzer suçlular için mükemmel bir araçtır. Yarış çoktan başladı,” dedi.
Microsoft ayrıca, çeşitli Microsoft ürünleriyle birlikte bir uç nokta koruma hizmeti olarak sunulan kimlik avına ve kötü amaçlı yazılıma karşı koruma bileşeni olan Windows SmartScreen’de bir güvenlik özelliğinin atlanmasına izin veren ikinci bir sıfır gün, izlenen CVE-2023-24880 belirledi.
Rapid7’nin baş yazılım mühendisi Adam Barnett, “Özel olarak hazırlanmış bir dosya, Mark of the Web savunmalarından kurtulabilir ve böylece genellikle internetten indirilen dosyalara uygulanan gelişmiş incelemeden kaçınabilir,” dedi.
Çalışması için kullanıcı etkileşimi gerektirdiğinden ve yalnızca Windows yazılım sürümleri 10 ve 11’in yanı sıra Server 2016’yı etkilediğinden, Microsoft bunu nispeten düşük bir CVSS v3 5.4 ile orta düzeyde şiddetli olarak derecelendirdi.
Daha Fazla Hata
Diğer kritik güvenlik açıkları, CVE-2023-23415 olarak izlenen bir uzaktan kod yürütme güvenlik açığı olan İnternet Kontrol İletisi Protokolü’nde bulunanları içerir. CVSS risk puanı 9.8 olan güvenlik açığı, ping gibi komutlar tarafından kullanılan ICMP protokolünü kullanıyor.
“Bir saldırgan, hedef makineye başka bir ICMP paket başlığı içinde parçalanmış bir IP paketi içeren düşük seviyeli bir protokol hatası göndermek için bu zayıflığı kullanabilir. Kusuru etkinleştirmek için, hedefteki bir uygulamanın bir ham sokete bağlanması gerekir. Action1 güvenlik açığı ve tehdit araştırmasından sorumlu Başkan Yardımcısı Mike Walters, “Bu güvenlik açığı uzaktan kod yürütülmesine neden olabilir” dedi.
Başka bir güvenlik açığı, HTTP Protokol Yığını’ndaki bir güvenlik açığıdır. CVE-2023-23392 olarak izlenen uzaktan kod yürütme güvenlik açığı, bir saldırganın, paketleri işlemek için HTTP Protokol Yığını kullanan hedeflenen bir sunucuya özel hazırlanmış bir paket göndermesine olanak sağlayabilir.
“Bu, uzaktan kod yürütülmesine yol açarak önemli bir güvenlik riski oluşturabilir. Güvenlik açığı, Windows Server 2022 ve Windows 11’i etkiler ve ayrıcalık veya kullanıcı etkileşimi gerektirmeyen, düşük karmaşıklıkta bir saldırı vektörüne sahiptir. Henüz istismara dair bir kanıt bulunmamakla birlikte, Walters, meydana gelme olasılığı yüksek” dedi.