DDoS Koruması, Yönetişim ve Risk Yönetimi, Yama Yönetimi
WordPad, Skype Kurumsal ve HTTPS/2 Protokolünde Giderilen Kusurlar
Prajeet Nair (@prajeetspeaks) •
11 Ekim 2023
Microsoft, Ekim ayı için yama dökümünde aktif olarak kullanılan üç sıfır günü düzeltti.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Bilgi işlem devi, WordPad’de karma şifreler elde etmek için kullanılabilen bir ifşa kusuru olan CVE-2023-36563 olarak takip edilen sıfır gün güvenlik açığını giderdi. WordPad, Windows işletim sistemine dahil edilmiş sade bir kelime işlem programıdır; ancak Microsoft, 1 Eylül’de uygulamanın gelecek sürümlerde yayınlanmasını durduracağını duyurdu.
Saldırganların bu kusurdan yararlanabilmesinin iki yolu vardır. Microsoft, güvenlik açığı bulunan bir bilgisayara erişimi olan bir bilgisayar korsanının oturum açabileceğini ve “güvenlik açığından yararlanabilecek ve etkilenen sistemin kontrolünü ele geçirebilecek özel hazırlanmış bir uygulamayı çalıştırabileceğini” söylüyor. Alternatif olarak saldırgan, kullanıcıları uygulamayı kendileri çalıştırmaya ikna etmek için sosyal mühendisliği kullanabilir.
“Microsoft’un geçen ay WordPad’in artık güncellenmediğini ve Windows’un gelecekteki bir sürümünde kaldırılacağını duyurması tesadüf olabilir veya olmayabilir, ancak henüz belirli bir zaman çizelgesi verilmemiştir. Şaşırtıcı olmayan bir şekilde, Microsoft bunun yerine Word’ü önerir. WordPad için” diye yazdı Rapid7’nin baş yazılım mühendisi Adam Barnett.
Microsoft’un ele aldığı ek bir sıfır gün, Skype Kurumsal sunucusundaki bir kusurdur. Bu güvenlik açığına yönelik, CVE-2023-41763 olarak izlenen genel yararlanma kodu mevcuttur. Başarılı bir saldırı, kurbanın IP adresini açığa çıkarır; bu da bir miktar gizlilik kaybına yol açar, ancak Skype’ın bütünlüğü veya kullanılabilirliği üzerinde herhangi bir etki yaratmaz. Microsoft, “Bazı durumlarda açığa çıkan hassas bilgiler iç ağlara erişim sağlayabilir” diyor.
Barnett, Microsoft’un açıklamanın kapsamının ne olabileceğini belirtmemesine rağmen, “muhtemelen Skype Kurumsal sunucusunun görebileceği şeylerle sınırlı olacağını; her zaman olduğu gibi, uygun ağ bölümlemesinin derinlemesine savunma açısından fayda sağlayacağını” yazdı.
Microsoft ayrıca, dağıtılmış hizmet reddi saldırılarını başlatmak için kullanılan HTTP/2 protokolündeki “Hızlı Sıfırlama” olarak bilinen bir kusuru da giderdi. Bilgisayar korsanları bu kusuru rekor kıran DDoS saldırıları oluşturmak için kullandı. CVE-2023-44487 olarak izlenen kusur, saldırganın HTTP/2’nin akış iptal etme özelliğini kötüye kullanarak istekleri sürekli gönderip iptal etmesine ve hedef sunucu veya uygulamanın aşırı yüklenmesine olanak tanıyor. Amazon, Google ve Cloudflare de kusuru hafifletti.