Microsoft bugün, bilgisayarındaki en az dört düzine güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. pencereler aktif saldırılarda halihazırda istismar edilen iki sıfır gün güvenlik açığı için yamalar dahil olmak üzere işletim sistemleri ve diğer yazılımlar.
Mayıs ayındaki sıfır gün kusurlarından ilki, düşük saldırı karmaşıklığına sahip, düşük ayrıcalıklar gerektiren ve kullanıcı etkileşimi gerektirmeyen Windows’taki bir “ayrıcalık yükseltme” zayıflığı olan CVE-2023-29336’dır. Ancak, olarak SANS İnternet Fırtına Merkezi işaret ediyor, bu hata için saldırı vektörü yerel.
“Yerel Ayrıcalık yükseltme güvenlik açıkları, saldırganların hedeflerinin önemli bir parçasıdır” dedi kevin breenşirketinde siber tehdit araştırmaları müdürü Sürükleyici Laboratuvarlar. “İlk erişimi elde ettiklerinde, yönetici veya SİSTEM düzeyinde izinler isteyeceklerdir. Bu, saldırganın güvenlik araçlarını devre dışı bırakmasına ve Mimikatz gibi ağ üzerinde hareket etmelerine ve kalıcılık kazanmalarına olanak tanıyan daha fazla saldırgan aracı dağıtmasına izin verebilir.”
Şimdiye kadar en çok ilgi gören sıfır gün yaması CVE-2023-24932’dir. Güvenli Önyükleme Güvenlik Özelliğini Atlama “BlackLotus” olarak bilinen “bootkit” kötü amaçlı yazılımı tarafından aktif olarak istismar edilen bir kusur. Önyükleme seti tehlikelidir çünkü saldırganın kötü amaçlı yazılımları işletim sistemi daha başlamadan yüklemesine izin verir.
Microsoft’un danışma belgesine göre, bir saldırganın hedef aygıta fiziksel erişim veya yönetici haklarına ihtiyacı olacak ve ardından etkilenen bir önyükleme ilkesi yükleyebilir. Microsoft, bu kusura yalnızca 6,7’lik bir CVSS puanı vererek “Önemli” olarak derecelendiriyor.
Adam Barnettşirketinde baş yazılım mühendisi hızlı7CVE-2023-24932’nin oldukça yüksek bir tehdit puanını hak ettiğini söyledi.
Barnett, “Microsoft, düzeltme eki uygulanmamış bir varlığa Yönetici erişimi olan bir saldırganın CVE-2023-24932’yi fiziksel erişimi olmadan da kullanabileceği konusunda uyarıyor” dedi. “Bu nedenle, nispeten düşük olan CVSSv3 taban puanı olan 6,7, bu durumda mutlaka güvenilir bir ölçüm değildir.”
Barnett, Microsoft’un, güvenliği ihlal edilmiş varlıklar üzerinde işletim sisteminden önce yüklenen ve saldırganlara bir dizi güçlü kaçırma, ısrar ve Komuta ve Kontrol (C2) teknikleri sağlayan BlackLotus kötü amaçlı yazılımının oluşturduğu tehdide özellikle değinen ek bir kılavuz makale sağladığını söyledi. kötü amaçlı çekirdek sürücülerinin dağıtılması ve Microsoft Defender veya Bitlocker’ın devre dışı bırakılması dahil.
Barnett, “Yöneticiler, yalnızca yamaları uygulamanın ötesinde ek eylemlerin gerekli olduğunun farkında olmalıdır” dedi. “Yama, koruma için gerekli yapılandırma seçeneklerini etkinleştirir, ancak yöneticilerin, düzeltme ekinden sonra UEFI yapılandırmasındaki değişiklikleri uygulaması gerekir. Saldırı yüzeyi fiziksel varlıklarla da sınırlı değildir; Güvenli Önyüklemenin etkinleştirildiği Azure varlıkları da dahil olmak üzere bazı VM’lerde çalışan Windows varlıkları da koruma için bu ekstra düzeltme adımlarını gerektirir. Rapid7, geçmişte Güvenli Önyüklemeyi etkinleştirmenin sürücü tabanlı saldırılara karşı temel bir koruma olduğunu belirtmişti. Savunmacılar bu güvenlik açığını kendi risklerine göre görmezden gelirler.”
Microsoft, bu ay düzeltilen iki sıfır güne ek olarak, Windows’ta ikisi oldukça yüksek CVSS puanlarına sahip beş uzaktan kod yürütme (RCE) hatası da düzeltti.
CVE-2023-24941, Windows Ağ Dosya Sistemini etkiler ve kimliği doğrulanmamış, özel hazırlanmış bir istekte bulunularak ağ üzerinden kullanılabilir. Microsoft’un danışma belgesi, hafifletme önerileri de içerir. Bu güvenlik açığı için CVSS 9.8’dir – bu ay ele alınan tüm açıkların en yükseği.
Bu arada, CVE-2023-28283, kimliği doğrulanmamış bir saldırganın güvenlik açığı bulunan cihazda kötü amaçlı kod yürütmesine izin veren, Windows Basit Dizin Erişim Protokolü’nde (LDAP) bulunan kritik bir hatadır. Bu güvenlik açığı için CVSS 8.1’dir, ancak Microsoft, güvenlik açığından yararlanmanın saldırganlar için zor ve güvenilmez olabileceğini söylüyor.
Bu ay yamalanan ve bugünden önce kamuya duyurulan (ancak henüz vahşi ortamda kötüye kullanıldığı görülmemiş) başka bir güvenlik açığı, CVE-2023-29325’tir. Microsoft Outlook Ve Kaşif saldırganlar tarafından uzaktan kötü amaçlı yazılım yüklemek için kullanılabilir. Microsoft, bu güvenlik açığından yalnızca Outlook Önizleme Bölmesinde özel hazırlanmış bir e-posta görüntülenerek yararlanılabileceğini söylüyor.
Microsoft’un CVE-2023-29325 üzerine yazdığı yazıda, “Bu güvenlik açığına karşı korunmaya yardımcı olmak için, kullanıcıların e-posta iletilerini düz metin biçiminde okumalarını öneririz.”
Immersive’den Breen, “Bir saldırgan bu güvenlik açığından yararlanabilseydi, kurbanın hesabına uzaktan erişim sağlayarak ek kötü amaçlı yazılım dağıtabilirdi,” dedi. “Bu tür istismarlar, başarılı bir şekilde silahlandırılırsa çok az bir çabayla yüzlerce kuruluşu hedef almak için kullanılabilecek e-suç ve fidye yazılımı grupları tarafından çok rağbet görecek.”
Bugün yayınlanan güncellemeler hakkında daha fazla ayrıntı için Action1, Automox ve Qualys tarafından hazırlanan özetlere bakın. Bugünkü güncellemeler Windows’ta herhangi bir kararlılık veya kullanılabilirlik sorununa neden olursa, AskWoody.com muhtemelen bu konuda bilgi sahibi olacaktır.
Herhangi bir güncelleme uygulamadan önce lütfen verilerinizi yedeklemeyi ve/veya sisteminizin görüntüsünü almayı düşünün. Ve bu yamaların bir sonucu olarak herhangi bir sorun yaşarsanız, yorumlarda sesinizi çıkarmaktan çekinmeyin.