Microsoft, Windows Media Player ve Windows’taki birkaç güvenlik açığı için yamalar yayınladı. CVE-2023-21802, CVE-2023-21805 ve CVE-2023-21822 güvenlik açıklarına 24 Şubat’ta yamalar sunuldu. Açıklar, siber suçluların diğer tehditlerin yanı sıra ayrıcalıklar kazanmasına, kod çalıştırmasına ve kötü amaçlı yazılım başlatmasına izin verecekti.
Zero Day Initiative (ZDI), bu 0 günlük güvenlik açıklarını daha önce Microsoft’a işaretlemişti. Cyber Express, vahşi ortamda böceklerin kötüye kullanıldığına dair bildirilen herhangi bir vakayı henüz tespit etmedi.
O zamanlar, bilgi güvenliği endüstrisindeki bazıları tarafından, güvenlik açıklarını bulanların zarar vermek isteyen kötü niyetli bilgisayar korsanları olduğu algısı vardı. Bazıları hala böyle hissediyor. Yetenekli, kötü niyetli saldırganlar var olsa da, yazılımda yeni kusurlar keşfeden toplam insan sayısının küçük bir azınlığı olmaya devam ediyor” dedi.
CVE-2023-21802 ve Windows Media Player
CVE-2023-21802’nin CVSS puanı 7,8’dir ve en son güncellemeler yüklenmezse Microsoft’un Windows Media Player’ını etkileyebilir. Trend Micro Hossein Lotfi’den bir araştırmacı, 18 Ekim 2022’de kusur hakkında Microsoft’u uyardı.
Bir siber saldırgan, Microsoft Windows Media Player’ın yama uygulanmamış yüklemelerinde uzaktan rasgele kod yürütebilir. Bununla birlikte, güvenlik açığından yararlanmak için, hedef kullanıcının bir bilgisayar korsanına ilk erişim izni vermek üzere kötü amaçlı bir dosyaya, sayfaya veya bağlantıya tıklaması gerekir.
Windows Media uzaktan kod yürütme güvenlik açığının, kullanıcı tarafından sağlanan bilgilerin uygun şekilde doğrulanması olmadan bilgisayar korsanlarının bir tamsayı taşmasına neden olmasına izin verecek olan ‘renk dönüştürmenin işlenmesi’ kapsamında da tespit edildi.
Windows’ta CVE-2023-21805 güvenlik açığı ve dosyaları
7,8 CVSS puanına sahip CVE-2023-21805, Windows’u etkiler ve bilgisayar korsanlarının yalnızca saldırıya uğramış sistemlere değil tüm ağa erişim sağlayabilen ve böylece erişimlerini ve hasarlarını artırabilen rasgele kod çalıştırmalarına izin verebilir.
Güvenlik açığı, komut dosyası etiketleri içeren belirli resim dosyası türlerinde bulundu. Görüntüler, komut dosyalarını yürütmek ve mevcut süreç bağlamında kodları yüklemek için verilerle kötü niyetli bir şekilde düzenlenebilir. Bu Windows MSHTML Platformu uzaktan kod Yürütme güvenlik açığı, satıcıya 3 Kasım 2022’de bildirildi.
CVE-2023-21822 ve isteğe bağlı kodlar
CVSS puanı 8,8 olan CVE-2023-21822, Microsoft Windows’u etkiledi ve yamalar yüklenmezse bilgisayar korsanlarının ayrıcalıkları artırmasına izin verebilir. Güvenlik açığı win32kfull sürücüsünde bulundu ve nesne üzerinde belirli işlevleri gerçekleştirmeden önce bir nesnenin doğrulanmamasından kaynaklanıyor.
Bu kusurun kötüye kullanılması, sistem bağlamında rasgele kodların çalıştırılmasına neden olabilir. Araştırmacılar, siber suçluların bu kusurdan yararlanmak için düşük ayrıcalıklı kod yürütmesi gerektiğini belirtti. Bu Windows grafik bileşeni ayrıcalık yükselmesi güvenlik açığı 3 Kasım 2022’de bildirildi.
Kullanıcılar en son sürüme yükseltme yapmadıkları sürece, yazılım istismara karşı savunmasız kalır ve bağlı cihazları ve ağları riske atar. Bu nedenle, kullanıcıların yamaları ilgili cihazlara yüklemeleri istenir.
Microsoft ve yama yönetimi
Microsoft’un Şubat 2023 Salı Yaması güncellemeleri, 77’si güvenlik açıklarıyla ilgili olmak üzere toplam 80 güvenlik düzeltmesini kapsıyordu. Bu güvenlik açıkları arasında, saldırganların aktif olarak yararlandığı üç sıfır gün açığı vardır.
Son güncellemede 77 açık arasında üç sıfır gün güvenlik açığı giderildi. Microsoft, sıfır gün güvenlik açığını, resmi bir düzeltme olmaksızın genel olarak duyurulan veya aktif olarak yararlanılan bir güvenlik açığı olarak tanımladı. En son güncellemede düzeltilen üç sıfır gün güvenlik açığı, bilgisayar korsanları tarafından vahşi ortamda aktif olarak kullanıldı.
Ancak kuruluşlar tarafından yama yönetimi arzulanan çok şey bırakıyor.
Aralık ayında Microsoft, CVE-2022-37958 hakkında bir uyarı yayınlayarak, daha önce Eylül ayında giderilen güvenlik açığının hâlâ kötü amaçlı kod yayabileceğini belirtiyor.
Ancak The Cyber Express’in kayıtlı okuyucuları arasında yaptığı bir ankete göre, birçok kişi bu hatadan habersizdi. Çeşitli sektörlerden ve konumlardan 32 CISO lideriyle yapılan bir anket, yalnızca %17’sinin bir yama başlattığını ve şaşırtıcı bir %43’ünün henüz sistemlerini güncellemediğini gösterdi.
Yaklaşık aynı zamanlarda, Rackspace Hosted Exchange hizmeti bir fidye yazılımı saldırısına uğradı ve temel nedenin bir Microsoft Exchange güvenlik açığıyla (CVE-2022-41080 olarak belirlenmiş) ilgili sıfır gün açıklarından yararlanma olduğu belirlendi.
Bu güvenlik açığı, bilgisayar korsanlarının çok sayıda hesaba erişmesine izin vererek on binlerce kullanıcının e-postalarına erişimini kaybetmesine neden oldu.
Microsoft Exchange güvenlik açığının, uzaktan kod yürütmek için CVE-2022-41082 ProxyNotShell hatasıyla birleştirilebilen bir ayrıcalık yükselmesine neden olduğu bulundu. Siber suçlular, Microsoft Exchange Server’da uzaktan ayrıcalık yükseltme elde etmek için bu ciddi güvenlik açığından yararlandı.
CISA’dan gelen uyarılara, Microsoft’tan tekrarlanan bildirimlere ve yama yönetimi için eylem çağrılarına rağmen The Cyber Express, çok sayıda kuruluşun henüz bir yama başlatmadığını tespit etti.