Microsoft, Yeni Yılı Sıfır Gün Güvenlik Düzeltmeleri ile Karşılıyor



Microsoft’un 2023’e yönelik ilk güvenlik güncelleştirmesi, biri saldırganların aktif olarak yararlandığı, diğeri ise herkes tarafından bilinen ancak henüz yararlanılmayanlar da dahil olmak üzere çok büyük 98 güvenlik açığı için yamalar içeriyordu.

Microsoft, bugün ifşa ettiği güvenlik açıklarından 11’inin “kritik” önem derecesinde olduğunu belirledi; bu, etkilenen ürünleri kullanan kuruluşların diğerlerini ele almadan önce bu kusurlara öncelik vermesi gerektiği anlamına geliyor. Kalan 87 tanesini “Önemli” olarak derecelendirdi. .

Sık Saldırıya Uğrayan Ürünlerdeki Hatalar

Ocak 2023 güvenlik güncelleştirmesindeki bazı güvenlik açıkları, favori saldırgan hedefleri olan ürünleri etkiler. Örneğin, bunlardan beşi Microsoft Exchange Server’ı etkiliyor ve bu ayki güncellemedeki en ciddi kusurlardan biri de dahil olmak üzere üç tanesi SharePoint’te.

Microsoft’un bugün kapattığı hatalardan 25’ini bildiren Trend Micro’nun Zero Day Initiative (ZDI) iletişim yöneticisi Dustin Childs, “Özellikle Exchange yamaları ve SharePoint güncellemeleri göz önüne alındığında, hacim kesinlikle endişe verici” diyor. “Bunlar yaygın hedeflerdir ve genellikle yamalanmayan hedeflerdir” diye belirtiyor. “Ulusal Güvenlik Teşkilatı ve Kanada İletişim Güvenliği Kuruluşu tarafından gönderilen güncellemeler de var. Bu, bir veya iki kişinin kaşlarını kaldırabilir.”

Birden fazla güvenlik araştırmacısı, bir Microsoft SharePoint Server güvenlik özelliğinin CVE-2023-21743 güvenlik açığını atlayarak, kuruluşların sunduğu risk nedeniyle hemen atlaması gereken bir güvenlik açığı tanımladı. Hata, kimliği doğrulanmamış bir saldırganın kimlik doğrulamasını atlamasına ve etkilenen bir SharePoint sunucusuna anonim bir bağlantı kurmasına olanak tanır. Kurumsal güvenlik ekipleri için güvenlik açığını karmaşıklaştıran bir faktör, tek başına düzeltme ekinin sunduğu tehdidi azaltmak için yeterli olmamasıdır. Ek olarak, Microsoft’un açıklardan yararlanma etkinliğine karşı koruma sağlamak için bu ayki güvenlik güncelleştirmesine dahil ettiği bir SharePoint yükseltmesini de tetiklemeleri gerekiyor.

Childs, “Bu, ‘yama ve devam et’ türünden bir hata değil,” diyor. “Bu güvenlik açığını tam olarak gidermek için yöneticilerin güncelleme belgelerinde belirtildiği gibi ek adımlar atması gerekiyor.”

Windows ALPC’de Sıfır Gün Hatası

Ocak 2023 güncelleştirmesindeki bir diğer yüksek öncelikli güvenlik açığı, Windows Gelişmiş Yerel Yordam Çağrısı’nda (ALPC) aktif olarak yararlanılan ve bir saldırganın güvenliği ihlal edilmiş bir sistemdeki ayrıcalıkları yükseltmesine olanak tanıyan bir hata olan CVE-2023-21674’tür. Microsoft, sıfır gün güvenlik açığının tüm Windows işletim sistemi sürümlerini etkilediğini ve bir saldırganın tarayıcı sanal alanından kaçmasına ve sistem düzeyinde ayrıcalıklar kazanmasına izin verebileceğini söyledi.

Tenable’da kıdemli personel araştırma mühendisi olan Satnam Narang, hatanın tüm ayrıntıları mevcut olmasa da, saldırganların güvenlik açığını Chromium tabanlı bir tarayıcıdaki veya Microsoft Edge’deki bir kusurla bir tarayıcı sanal alanından çıkmak için zincirlemiş olmalarının mümkün olduğunu söylüyor. tam sistem erişimi kazanın.

Narang, Dark Reading’e “Tarayıcı güvenliğinde yapılan iyileştirmeler nedeniyle, geleneksel tarayıcı istismarları kendi başlarına korumalı alan teknolojisiyle sınırlandırılıyor ve bir saldırganın temeldeki işletim sistemine erişme yeteneğini kısıtlıyor” dedi. Gelişmiş bir kalıcı tehdit grubunun, hedefli bir saldırının parçası olarak güvenlik açığını keşfedip istismar etmiş olabileceğini söylüyor.

Microsoft, bu ay ele aldığı hatalardan birini herkesin bildiği ancak kötüye kullanılmadığı şeklinde tanımladı. CVE-2023-21549 olarak izlenen güvenlik açığı, Windows SMB Tanık Hizmeti’nde bulunmaktadır ve bir saldırganın normalde yalnızca ayrıcalıklı hesaplarla sınırlı olan uzaktan prosedür çağrısı işlevlerini yürütmesine olanak tanır. Microsoft, açıktan yararlanma olasılığının daha düşük olduğunu değerlendirmesine rağmen güvenlik açığına 8,8 puan verdi.

Bir Ayrıcalık Seli-Yükseltme Kusurları

ZDI’nin bildirdiği ve Microsoft’un bu ay yama uyguladığı 25 hatadan ikisi, önceki bir ayrıcalık yükseltmesi için başarısız bir yamadan kaynaklanan Exchange Server ayrıcalık yükselmesi güvenlik açıklarıydı (CVE-2023-21763 ve CVE-2023-21764). CVE-2022-41123 olarak izlenen Exchange’deki kusur. Childs, “Sabit kodlanmış bir yolun kullanılması sayesinde, yerel bir saldırgan kendi DLL’sini yükleyebilir ve SİSTEM düzeyinde kod çalıştırabilir” diyor.

Toplamda, Microsoft’un en son güncellemesinde ele aldığı hataların 39’u, şirketin genellikle RCE hatalarından daha az ciddi olarak derecelendirdiği bir kusur kategorisi olan ayrıcalıkların yükseltilmesini sağlar. Ancak bu, kuruluşların bunları ele almayı erteleyebilecekleri anlamına gelmez. Siber tehdit araştırma direktörü Kev Breen, “Düşük puanlarına rağmen, bu güvenlik açıkları genellikle bir saldırının ilk aşamalarında görülüyor ve saldırganların öldürme zincirinin başlarında SİSTEM veya etki alanı düzeyinde erişim elde etmesinin engellenmesi saldırganları yavaşlatabilir” dedi. Immersive Labs’ta bir açıklamada.

Ocak güncellemesindeki bazı ayrıcalık yükseltme hataları Windows Çekirdeğini etkiler. Bunların arasında CVE-2023-21772, CVE-2023-21750, CVE-2023-21675 ve CVE-2023-21773 bulunmaktadır. Güvenlik satıcısı Action1, “Bu güvenlik açıklarından kaynaklanan potansiyel risk, Windows 7’den başlayarak herhangi bir Windows işletim sistemi çalıştıran tüm cihazları etkiledikleri için yüksektir.” Dedi. Action1, ayrıcalık yükseltme hatalarından yedisinin düşük karmaşıklığa sahip olduğunu ve düşük ayrıcalıklar gerektirdiğini ve kullanıcı etkileşimi gerektirmediğini, yani bunlara saldırmanın kolay olduğunu söyledi.

Güvenlik araştırmacılarının Microsoft’un Ocak 2023 güvenlik güncelleştirmesinde yüksek öncelikli olarak tanımladığı diğer hatalar arasında, her ikisi de Microsoft Exchange Server’daki kimlik sahtekarlığı güvenlik açıkları olan CVE-2023-21762 ve CVE-2023-21745 yer alır. Breen, “Exchange gibi e-posta sunucuları, bir saldırganın e-postaları okuyarak hassas bilgiler elde etmesine veya İş E-postası Ele Geçirme tarzı saldırıları kolaylaştırmasına olanak tanıdığından, saldırganlar için yüksek değerli hedeflerdir” dedi. Kuruluşların, bu tür hataların önceden belirlediği risklerin farkında olması ve bunları hafifletmesi gerektiğini de sözlerine ekledi.

Microsoft ayrıca son kullanımla ilgili önceki kılavuzunu da güncelledi. Kötü amaçlı kampanyalarda Microsoft imzalı sürücüler siber suçlular. Kılavuz artık, saldırganların güvenliği ihlal edilmiş sertifikayı ortamlarında kullanmalarını engelleyen bir engelleme listesi içermektedir. Şirket, tavsiye ettikleri eylemler için, “Microsoft, tüm müşterilerin en son Windows güncellemelerini yüklemelerini ve virüsten koruma ve uç nokta algılama ürünlerinin en son imzalarla güncel olduğundan ve bu saldırıları önleyecek şekilde etkinleştirildiğinden emin olmalarını öneriyor” dedi.



Source link