Microsoft, Şubat 2023 Salı Yaması güncellemesinde, daha önce herkese açıklanmamış olsalar da yama için öncelik verilmesi gereken üç sıfır gün güvenlik açığı da dahil olmak üzere, yeni keşfedilen toplam 75 yaygın güvenlik açığı ve açık (CVE) için düzeltmeler yayınladı.
Üç sıfır günün tümü önemli önemde olarak belirlenmiştir ve sırasıyla 7.3, 7.8 ve 7.8 CVS puanları taşır. Hepsinin vahşi doğada istismar edildiği bilinmektedir.
Aşağıdaki gibi izlenirler:
- CVE-2023-21715, Microsoft Publisher’da bulunan ve bir saldırganın aksi takdirde engellenecek olan kodu çalıştırmak için özel hazırlanmış bir belge kullanarak Office makro savunmalarını atlamasına olanak verebilecek bir güvenlik özelliği baypas güvenlik açığı. Ancak, bu yalnızca yerel, kimliği doğrulanmış bir kullanıcı tarafından yapılabilir ve yalnızca daha geniş Microsoft 365 İşletmeler için Uygulamalar paketinin parçası olan Yayıncı yüklemelerini etkiler.
- CVE-2023-21823, Windows Grafik Bileşeni’nde bulunan ve bir saldırganın sistem düzeyinde ayrıcalıklar kazanmasına olanak tanıyan ortak bir ayrıcalık yükselmesi (EoP) ve uzaktan kod yürütme (RCE) güvenlik açığı. Windows 10 ve Server 2008 ve sonraki sürümlerin yanı sıra iOS, Android ve Universal için Microsoft Office’i etkiler – bu son üç örnekte, RCE’ye, dolayısıyla ikili doğasına yol açabilir.
- Ve CVE-2023-23376, Windows Ortak Günlük Dosyası Sistemi Sürücüsünde yeniden yerel ayrıcalık yükseltmeyi sistem düzeyine etkinleştiren başka bir EoP güvenlik açığı. Microsoft’un bildiği herhangi bir olgun istismar kodu yok gibi görünüyor, ancak Windows ana bilgisayarlarının büyük çoğunluğunu etkilediği için hızlı bir düzeltmeyi garanti ediyor.
Ivanti’de güvenlik ürünlerinden sorumlu başkan yardımcısı Chris Goettl, istismar edilen güvenlik açıklarının tümünün, diğer kapatılan hataların çoğundan daha düşük önem derecesine sahip olarak derecelendirilmesinin, savunmalarını güçlendirmeye giden güvenlik ekipleri için değerli bir ders olması gerektiğini söyledi. .
Goettl, “Kuruluşlardan önceliklerini yalnızca satıcı ciddiyeti ve yalnızca CVSS puanının ötesine genişletmeleri isteniyor,” dedi, “istismar edilen birçok güvenlik açığı Kritik veya CVSS 8.0’dan daha az olacaktır. Bu, güvenlik açığı yönetimi programınızda riske dayalı önceliklendirme yöntemlerini acilen kullanmanız gerektiğini vurguluyor.”
Kritik hatalar
Tam düşüş aynı zamanda tümü uzaktan kod yürütülmesine yol açan dokuz kritik CVE’yi ele alır ve bunların CVSS puanları 7,8 ile 9,8 arasında değişir. Bunlar:
Trend Micro’nun Zero Day Initiative programından Dustin Childs, listelenen kritik hatalar üzerinden kural yürüttüğünde, protokol giderek daha az kullanıldığından PEAP güvenlik açıklarının daha az etkili olabileceğini, ancak daha çok endişe kaynağının iSCSI Discovery Service sorunu olduğunu söyledi. .
Childs, “Depolama alanı ağlarına (SAN’lar) sahip veri merkezleri, SAN’larının RCE güvenlik açığından etkilenip etkilenmediğini kesinlikle satıcılarıyla kontrol etmelidir” diye yazdı.
Değerlendirdiği SQL ODBC sürücüsü güvenlik açığının kendisiyle ilişkili “biraz olası olmayan” bir istismar zincirine sahip olabileceğini, ancak güvenlik ekiplerinin SQL Server’ın doğru sürümü için doğru düzeltmeyi almasını sağlamak için yine de dikkat edilmesi gerektiğini söyledi. Son olarak, .NET ve Visual Studio’yu kapsayan üç yamanın göründüğü kadarıyla basit “aç ve sahiplen” hataları gibi göründüğünü, ancak ayrıntıların zeminde zayıf olduğunu söyledi.
Childs ayrıca, tam Şubat güncellemesinin, yamalanan hataların tam yarısının RCE güvenlik açıkları olması nedeniyle biraz sıra dışı olduğunu belirtti.
Rapid7’nin baş yazılım mühendisi Adam Barnett, Windows 8.1 desteğinin sona ermesinin ardından – Ocak 2023 güncellemesi bunu kapsayan son güncellemeydi – onu hala çalıştıran güvenlik ekiplerinin ileriye dönük tetikte olmaları gerektiğini belirtti.
“Bu, Windows 8.1 için Genişletilmiş Güvenlik Güncelleştirmeleri’nin (ESU) sona ermesinden sonraki ilk Salı Yaması. Windows Server 2008 örneklerinden sorumlu yöneticiler, Windows Server 2008 için ESU’nun artık yalnızca Azure’da barındırılan örnekler veya Azure Stack aracılığıyla barındırılan şirket içi örnekler için kullanılabileceğini unutmamalıdır” dedi.
“Azure dışı bir bağlamda barındırılan Windows Server 2008 örnekleri artık güvenlik güncelleştirmeleri almayacak, bu nedenle yukarıda ele alınan iki sıfır gün de dahil olmak üzere tüm yeni güvenlik açıklarına karşı savunmasız kalacak.”