Microsoft Salı günü, 60 güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. pencereler Desteklenen tüm yazılımlarda sıfır gün kusuru dahil olmak üzere işletim sistemleri ve diğer yazılımlar Microsoft Office Şu anda en az iki aydır aktif sömürü görülen tüm Windows türlerinde sürümler. Daha hafif bir notta, Microsoft resmi olarak emekli oluyor Internet Explorer (IE) bu yıl 27 yaşına giren web tarayıcısı.
Bu ay ele alınan hatalardan üçü, Microsoft’un en korkunç “kritik” etiketini kazandı; bu, savunmasız bir sistem üzerinde tam kontrolü ele geçirmek için kötü amaçlı yazılımlar veya yanlış kişiler tarafından uzaktan kullanılabilecekleri anlamına geliyor. Bu ay kritik yığının üstünde CVE-2022-30190güvenlik açığı Microsoft Destek Tanılama Aracı (MSDT), Windows’ta yerleşik bir hizmet.
Dublajlıfollina” kusuru, 27 Mayıs’ta bir güvenlik araştırmacısı tarafından kamuoyuna duyurulmuştu. tweetlendi kötü niyetli hakkında Kelime antivirüs ürünleri tarafından şaşırtıcı derecede düşük algılama oranlarına sahip belge. Araştırmacılar, kötü niyetli belgenin uzak bir sunucudan bir HTML dosyası almak için Word’deki bir özelliği kullandığını ve bu HTML dosyasının da kodu yüklemek ve PowerShell komutlarını yürütmek için MSDT’yi kullandığını kısa sürede öğrendi.
“Bu yeni MS Word güvenlik açığını benzersiz kılan şey, bu saldırıda hiçbir makronun kullanılmamış olmasıdır” diye yazıyor. Mayuresh Danitehdit araştırması yöneticisi Nitelikler. “Çoğu kötü amaçlı Word belgesi, kötü amaçlı yüklerini iletmek için yazılımın makro özelliğinden yararlanır. Sonuç olarak, normal makro tabanlı tarama yöntemleri Follina’yı tespit etmek için çalışmayacaktır. Saldırganın tek yapması gereken, hedeflenen kullanıcıyı bir Microsoft belgesi indirmesi veya kötü amaçlı kodla gömülü bir HTML dosyasını görüntülemesi için cezbetmektir.”
Kevin BeaumontFollina’ya adını veren araştırmacı, kaleme aldığı oldukça lanet olası bir hesap ve zaman çizelgesi Microsoft’un zayıflık konusunda uyarılmaya verdiği yanıt. Beaumont, Mart 2021’deki araştırmacıların Microsoft’a örnek olarak Microsoft Teams kullanarak aynı istismarı gerçekleştirebileceklerini ve Microsoft’un sorunu Teams’de sessizce düzelttiğini ancak Windows’ta MSDT’yi veya Microsoft Office’te saldırı vektörünü düzeltmediğini söyledi.
Beaumont, diğer araştırmacıların 12 Nisan 2022’de Microsoft’a MSDT kusurunun aktif olarak istismar edildiğini söylediğini, ancak Microsoft’un bunun bir güvenlik sorunu olmadığını söyleyerek bileti kapattığını söyledi. Microsoft nihayet 30 Mayıs’ta sorun için bir CVE yayınladı. yayınlanan öneriler güvenlik açığından kaynaklanan tehdidin nasıl azaltılacağı hakkında.
Microsoft ayrıca Azure bulut barındırma platformundaki farklı bir dizi kusurla ilgili güvenlik uzmanlarından eleştiri alıyor. Orca Güvenlik dedi ki 4 Ocak’ta geri Microsoft’a Azure’daki kritik bir hatayı anlattı sinaps Saldırganların diğer çalışma alanlarına kimlik bilgileri almasına, kod yürütmesine veya müşteri kimlik bilgilerini Azure dışındaki veri kaynaklarına sızdırmasına olanak tanıyan hizmet.
İçinde bir güncelleme Salı günü yayınlanan araştırmalarına göre Orca araştırmacıları, şirket çalışan bir düzeltmeyi uygulamaya koymadan önce Microsoft’un soruna yönelik düzeltmesini iki kez atlayabildiklerini söyledi.
Orca, “Önceki durumlarda, güvenlik açıkları, etkilenen satıcıya açıklamamızın ardından birkaç gün içinde bulut sağlayıcıları tarafından düzeltildi” diye yazdı. Avi Şua. “Hizmet mimarisine ilişkin anlayışımıza ve düzeltmeleri tekrar tekrar atlamamıza dayanarak, mimarinin daha sağlam bir kiracı ayırma mekanizmasıyla ele alınması gereken temel zayıflıkları içerdiğini düşünüyoruz. Daha iyi bir çözüm uygulanana kadar tüm müşterilere hizmet kullanımlarını değerlendirmelerini ve içinde hassas verileri veya anahtarları saklamaktan kaçınmalarını tavsiye ediyoruz.”
Amit YoranCEO’su korunabilir ve eski bir ABD siber güvenlik çarı, aynı Azure Synapse hizmetinde Tenable’ın bildirdiği bir sorunu sessizce yamalamak için Microsoft’u görevlendirdi.
Yoran, “Yalnızca halka açacağımız söylendikten sonra, hikayeleri değişti… ilk güvenlik açığı bildiriminden 89 gün sonra… güvenlik sorununun ciddiyetini özel olarak kabul ettiklerinde,” dedi. LinkedIn’de bir gönderi. “Bugüne kadar Microsoft müşterileri bilgilendirilmedi. Zamanında ve ayrıntılı açıklamalar olmadan, müşterilerin saldırılara karşı savunmasız olup olmadıkları veya bir güvenlik açığı kapatılmadan önce saldırıya uğrayıp uğramadıkları konusunda hiçbir fikirleri yoktur. Ve müşterilere haber vermemek, onlara tehlikede olduklarına veya olmadıklarına dair kanıt arama fırsatı vermemek, son derece sorumsuz bir politika.”
Ayrıca bu ay kritik ve dikkate değer yığında CVE-2022-30136bir uzaktan kod yürütme kusurudur. Windows Ağ Dosya Sistemi (NFS sürüm 4.1) 9,8 CVSS puanı (10 en kötü olmak üzere) kazandı. Microsoft, NFS sürüm 2 ve 3’teki güvenlik açıkları için geçen ay çok benzer bir yama yayınladı.
“Bu güvenlik açığı, uzaktaki bir saldırganın, NFS çalıştıran etkilenen sistemlerde ayrıcalıklı kod yürütmesine izin verebilir. Yüzeyde, yamalar arasındaki tek fark, bu ayki güncellemenin NFSV4.1’deki bir hatayı düzeltmesi, oysa geçen ayki hatanın yalnızca NSFV2.0 ve NSFV3.0 sürümlerini etkilemesi” diye yazdı. Trend Micro’nun Sıfır Gün Girişimi. “Bunun bir varyant mı yoksa başarısız bir yama mı yoksa tamamen yeni bir sorun mu olduğu belli değil. Ne olursa olsun, NFS çalıştıran kuruluşlar bu düzeltmeyi test etmeye ve dağıtmaya öncelik vermelidir.”
Bugünden itibaren Microsoft, Ağustos 1995’te başlatılan Internet Explorer Web tarayıcısının çoğu sürümünü desteklemeyi resmi olarak durduracak. IE masaüstü uygulaması devre dışı bırakılacak ve bir Microsoft tarayıcısına bağlı kalmak isteyen Windows kullanıcılarının Microsoft Edge’e geçmeleri teşvik ediliyor. En az 2029 yılına kadar desteklenecek olan IE modu ile.
Microsoft tarafından bugün yayınlanan ve önem derecesine ve diğer ölçütlere göre dizine eklenen yamalara daha yakından bakmak için şu adrese göz atın: her zaman yararlı Yama Salı toplaması itibaren SANS İnternet Fırtına Merkezi. Microsoft, güncellemelerdeki herhangi bir sapmayı çözene kadar güncellemeyi birkaç gün ertelemek kötü bir fikir değildir: AskWoody.com genellikle Windows kullanıcıları için sorunlara neden olabilecek herhangi bir yamada kir bulunur.
Her zaman olduğu gibi, sistem güncellemelerini uygulamadan önce lütfen sisteminizi veya en azından önemli belgelerinizi ve verilerinizi yedeklemeyi düşünün. Ve bu güncellemelerle ilgili herhangi bir sorunla karşılaşırsanız, lütfen yorumlarda bununla ilgili bir not bırakın.