Microsoft’un Mayıs 2023 güvenlik güncelleştirmesi, saldırganların aktif olarak yararlandığı ikisi de dahil olmak üzere toplam 49 yeni güvenlik açığı için düzeltmelerle Ağustos 2021’den bu yana en hafif cilttir.
Güncelleme, Microsoft’un Edge tarayıcısının temel aldığı açık kaynaklı Chromium motorundaki dokuz güvenlik açığı için düzeltmeler içeriyor. Şirket, kalan 40 güvenlik açığından yedisinin kritik önemde olduğunu ve geri kalanının “önemli” olduğunu belirledi.
Aktif Olarak Kullanılan Kusurlar
Microsoft’un Mayıs güncellemesinde düzelttiği aktif olarak kullanılan iki güvenlik açığı, şirketin Salı Yaması’nda en az bir sıfır gün hatası açıkladığı beşinci ayı işaret ediyor. Bu ayın yeni sıfır günlerinden biri, saldırganların etkilenen sistemlerin tam denetimini ele geçirmek için yararlanabilecekleri (CVE-2023-29336) olarak izlenen bir Win32k ayrıcalık yükseltme güvenlik açığıdır.
Trend Micro’nun Zero Day Initiative (ZDI) araştırmacıları bir blog yazısında, Microsoft’a hatayı bildirenin kötü amaçlı yazılımdan koruma sağlayıcısı Avast olması gerçeğinin, tehdit aktörlerinin bu hatayı kötü amaçlı yazılım dağıtmak için kullandığını gösterdiğini söyledi.
ZDI, “Bu tür bir ayrıcalık artışı, kötü amaçlı yazılım yaymak için genellikle bir kod yürütme hatasıyla birleştirilir” dedi. “Her zaman olduğu gibi, Microsoft bu saldırıların ne kadar yaygın olabileceği konusunda hiçbir bilgi vermiyor.”
Action 1’de güvenlik açığı ve tehdit araştırmasından sorumlu başkan yardımcısı M. Walters, e-postayla gönderilen yorumlarda, şu anda kusur için herhangi bir geçici çözüm veya alternatif düzeltme bulunmadığını, bunun da yama yapmanın riski azaltmanın en etkili yolu olduğu anlamına geldiğini söyledi. “Bunun ışığında, Sağlanan yamalarla sistemleri derhal güncellemek kesinlikle çok önemlidir,” diye tavsiyede bulundu Walters.
Saldırganların şu anda istismar ettiği bu ayki güncellemedeki ikinci hata, Windows Güvenli Önyükleme özelliğinde, sistem başlatma sırasında önyükleme işlemini yetkisiz değişikliklerden ve kötü amaçlı yazılımlardan korumak için bir güvenlik özelliği atlama güvenlik açığıdır.
CVE-2023-24932 olarak tanımlanan hata, bir saldırganın Güvenli Önyüklemeyi atlamasına ve kendi tercih ettiği bir önyükleme politikası kurmasına olanak tanır. Saldırganın kusurdan yararlanabilmesi için etkilenen makinede fiziksel erişime veya yönetici haklarına ihtiyacı olacaktır. Tenable’da kıdemli personel mühendisi olan Satnam Narang, kusurun güvenlik satıcısı ESET’in ilk olarak Mart 2023’te bildirdiği bir UEFI önyükleme seti olan BlackLotus ile ilgili göründüğünü söyledi.
Bir Sürü RCE – Yine
Microsoft’un Mayıs 2023 güncellemesinde ifşa ettiği güvenlik açıklarının yaklaşık dörtte biri veya 12’si uzaktan kod yürütülmesini mümkün kılıyor; sekizi bilgi açıklama kusurlarıdır; ve altısı saldırganların güvenlik kontrollerini atlamasına izin verir.
RCE’ler, bir ağ üzerinden dosya paylaşımı ve uzaktan erişim için Microsoft’un Ağ Dosya Sistemi (NFS) protokolünü etkiler; Windows Pragmatik Genel Çoklu Yayın (PGM); Windows Bluetooth Sürücüsü; ve Windows Basit Dizin Erişim Protokolü (LDAP).
Çeşitli güvenlik satıcıları, Microsoft NFS’de (CVE-2023-24941) bir RCE’yi, sunduğu risk nedeniyle kuruluşların önceliklendirmesi gereken bir RCE olarak tanımladı. Microsoft, hatayla ilişkili düşük saldırı karmaşıklığı ve ayrıca kullanıcı etkileşimi gerektirmemesi nedeniyle CVE’ye Mayıs güncellemesindeki en yüksek değer olan 9,8’lik bir önem puanı atadı. Microsoft, düşük ayrıcalıklara sahip bir saldırganın, kimliği doğrulanmamış, özel olarak hazırlanmış bir NFS hizmeti çağrısı yoluyla ağ üzerindeki kusurdan yararlanabileceğini söyledi.
Şirket güvenlik açığı için bir hafifletme yayınladı. Ancak, Microsoft’un Mayıs 2022’de yama yaptığı NFSV2.0 ve NFSV3.0’daki (CVE-2022-26937) önceki bir kusur için yamayı henüz yüklememişlerse kuruluşları azaltmayı kullanmaları konusunda uyardı.
Silverfort kıdemli araştırmacısı Yoav Iellin, e-postayla gönderilen bir yorumda, “NFS protokolü, SMB protokolünün daha yaygın olduğu Windows’a göre Linux ve Unix ortamlarında daha yaygındır” dedi. Iellin, “Yine de, NFS sunucuları olarak Windows sunucusunu kullanan kuruluşlar, Microsoft’un düzeltmesini derhal uygulamayı düşünmelidir” dedi.
Diğer Kritik Hatalar
SANS İnternet Fırtınası Merkezi, Windows LDAP’de bir RCE olan CVE-2023-28283’e, Microsoft’un kendisi bu açığın istismar edilme olasılığının daha düşük olduğunu değerlendirmesine rağmen, Mayıs ayı setinde kuruluşun dikkat etmesi gereken başka bir hata olarak işaret etti. Güvenlik açığı, saldırganlara özel hazırlanmış LDAP çağrıları aracılığıyla LDAP hizmeti bağlamında RCE elde etme yolu sağlar.
Bu güvenlik açığından başarıyla yararlanan kimliği doğrulanmamış bir saldırgan, LDAP hizmeti bağlamında rasgele kod yürütmek için özel hazırlanmış bir dizi LDAP çağrısı yoluyla kod yürütme elde edebilir. Ancak SANS, güvenlik açığına saldırmanın yüksek derecede karmaşıklık içerdiğini söyledi.
Kavram kanıtı kodu zaten mevcut olduğu için Microsoft’un istismar edilme olasılığının daha yüksek olduğunu tanımladığı kritik kusurlardan biri, Windows Nesne Bağlama ve Gömme (OLE) teknolojisinde bir RCE olan CVE-2023-29325’tir. Saldırgan, kurbana özel hazırlanmış bir e-posta göndererek ve kurbanın e-postayı Microsoft Outlook’un etkilenen bir sürümüyle açmasını veya yalnızca önizleme bölmesinde görüntülemesini sağlayarak kusuru tetikleyebilir.
Iellin, “Outlook’un önizleme bölmesinde dikkatlice hazırlanmış kötü amaçlı bir e-postaya basit bir göz atma eylemi, uzaktan kod yürütmeyi etkinleştirmek ve potansiyel olarak alıcının bilgisayarını tehlikeye atmak için yeterlidir” dedi.
Microsoft, kusura karşı koruma sağlamak için kullanıcıların sorunu düzeltene kadar e-postayı düz metin biçiminde okumasını önerir. Şirket ayrıca, yöneticilerin Outlook’u tüm standart e-postaları düz metin olarak okuyacak şekilde nasıl yapılandırabileceği konusunda rehberlik sağladı.