Güvenlik uzmanları bugün, BT ekiplerinin biri Microsoft Outlook’un kimlik doğrulama mekanizmasında ve diğeri Web İşareti atlaması olan iki sıfır gün güvenlik açığının yamalanmasına öncelik vermesi gerektiğini söyledi. İkisi, Microsoft’un Mart Yaması Salı güvenlik güncelleştirmesinde ifşa ettiği 74 güvenlik hatası önbelleğinin parçasıdır.
Bir blog gönderisinde, Automox’tan araştırmacılar, saldırganların vahşi ortamda istismar etmesi nedeniyle kuruluşların her iki güvenlik açığını da 24 saat içinde düzeltmelerini tavsiye etti.
Ek olarak, Mart güncellemesindeki bazı kritik kusurlar, uzaktan kod yürütmeye (RCE) izin vererek onları yama için de yüksek bir öncelik haline getiriyor.
Satıcılar, Microsoft’un Mart güncellemesindeki yeni kritik güvenlik açıklarının toplam sayısını biraz farklı değerlendirdi – muhtemelen sayıya dahil ettiklerindeki farklılıklar nedeniyle. Örneğin Trend Micro’nun Zero-Day Initiative (ZDI), Microsoft’un Mart güncellemesindeki altı güvenlik açığını kritik olarak tanımlarken, Tenable ve Action1 bu sayıyı dokuz olarak belirledi.
Ayrıcalık Yükseltmesi Sıfır Gün
Sıfır günden biri, Microsoft Outlook’ta CVE-2023-23397 olarak izlenen ve bir saldırganın kurbanın Net-NTLMv2 sorgulama-yanıt kimlik doğrulama karmasına erişmesine ve ardından kullanıcının kimliğine bürünmesine olanak tanıyan kritik bir ayrıcalık yükseltme güvenlik açığıdır.
Hatayı tehlikeli yapan şey, bir saldırganın, kullanıcı Önizleme Bölmesinde görüntülemeden önce Outlook’un aldığı ve işlediği özel hazırlanmış bir e-posta göndererek onu tetikleyebilmesidir.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, e-postayla gönderilen bir yorumda, “Bunun nedeni, güvenlik açığının e-posta sunucusu tarafında tetiklenmesidir, yani istismar, bir kurban kötü niyetli e-postayı görmeden önce gerçekleşecektir” dedi. Saldırgan, kurbanın Net-NLMv2 sağlamasını, NTLM sorgulama-yanıt mekanizmasından yararlanan ve rakibin kullanıcı olarak kimlik doğrulaması yapmasına izin veren bir saldırı gerçekleştirmek için kullanabilir.
ZDI araştırmacısı Dustin Childs, Microsoft’un Mart Yaması Salı güncellemesindeki en önemli kusurları özetleyen bir blog yazısında, bu, hatayı bir ayrıcalık yükseltme sorunundan çok bir kimlik doğrulama baypas güvenlik açığı haline getiriyor, dedi. Önizleme Bölmesi seçeneğinin devre dışı bırakılması tehdidi azaltmaz çünkü hata bundan önce bile tetiklenir, diye yazdı.
Microsoft, hatanın keşfini Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibinden (CERT) araştırmacılara ve kendi araştırmacılarından birine bağladı.
Automox, CVE-2023-23397’ye hemen yama yapamayan kuruluşların, NTLM’nin bir kimlik doğrulama mekanizması olarak kullanılmasını engelleyen kusur için Microsoft’un hafifletme yöntemini uygulamayı düşünmeleri gerektiğini söyledi.
Aktif Olarak Yararlanan Güvenlik Özelliğini Atlama Hatası
Microsoft, ikinci sıfır gün hatasını CVE-2023-24880 olarak tanımladı; bu, saldırganın Microsoft’un bir kullanıcının İnternet’ten indirebileceği dosyaları tanımlamak için kullandığı Web İşareti atamasını atlamak için kullanabileceği bir Windows SmartScreen güvenlik özelliği atlama sorunu.
Bu özellik, kullanıcıları potansiyel olarak güvenli olmayan içerik konusunda uyarmak için tasarlanmıştır. CVE-2023-24880, Windows 10 ve sonraki sürümleri çalıştıran tüm masaüstü sistemlerini ve Windows Server 2016, 2019 ve 2022 çalıştıran sistemleri etkiler.
Ivanti’de güvenlik ürünlerinden sorumlu başkan yardımcısı Chris Goettl, yöneticileri Microsoft’un kusur için nispeten düşük önem derecesi nedeniyle yanlış bir güvenlik duygusuna kapılmamaları konusunda uyardı.
Goettl yaptığı açıklamada, “CVSSv3.1 puanı yalnızca 5,4’tür ve bu, birçok kuruluş tarafından fark edilmeyebilir” dedi. Tek başına, CVE o kadar da tehdit edici olmayabilir, ancak “ancak ek açıklardan yararlanan bir saldırı zincirinde kullanılmış olması muhtemeldir” diye uyardı.
Yüksek Yama Önceliğindeki Diğer Güvenlik Hataları
Özel olarak not edilmesi gereken RCE kusurlarından biri, ağ cihazlarının iletişim sorunlarını teşhis etmek için kullandığı İnternet Kontrol Mesajı Protokolünde (ICMP) bulunan CVE-2023-23415’tir.
Microsoft, “Bir saldırgan, başlığında hedef makineye gönderilen parçalanmış bir IP paketi içeren düşük düzeyli bir protokol hatası kullanarak bu güvenlik açığından uzaktan yararlanabilir” dedi. Güvenlik açığı, Windows 10, Windows 11, Windows Server 2008, 2012, 2016, 2019 ve 2022 dahil olmak üzere birden çok Microsoft ürününü etkiliyor.
ZDI, Automox ve Action1 ayrıca, kuruluşların öncelik vermek isteyebileceği başka bir sorun olarak, HTTP Protokol Yığınındaki CVSS ölçeğinde neredeyse maksimum önem derecesi 9,8 olan bir RCE güvenlik açığını tanımladı.
Güvenlik açığı (CVE-2023-23392), kimliği doğrulanmamış bir saldırganın RCE’ye giden HTTP Protokol Yığını kullanan bir sunucuya özel hazırlanmış bir paket göndermesine olanak tanır. Action1, “Güvenlik açığı Windows Server 2022 ve Windows 11’i etkiliyor ve ayrıcalık veya kullanıcı etkileşimi gerektirmeyen, düşük karmaşıklıkta bir saldırı vektörüne sahip” uyarısında bulundu. Bu nedenle Microsoft, güvenlik açığını, tehdit aktörlerinin diğer güvenlik açıklarından yararlanma olasılığının daha yüksek olduğu bir güvenlik açığı olarak değerlendirmiştir.
Automox ayrıca kuruluşların Windows Şifreleme Hizmetleri protokolündeki bir RCE hatası olan CVE-2023-23416’yı 72 saat içinde gidermesini tavsiye etti. Bunun nedeni, diğer şeylerin yanı sıra, Windows 10 ve üzeri masaüstü bilgisayarların tüm sürümlerini ve Server 2012’den sonraki tüm Windows sunucu sürümlerini etkilemesidir.
Yeni güvenlik açıkları için yamalara ek olarak Microsoft, Mart yama döngüsünde tümü 2022’den kalma dört eski kusur için de güncellemeler yayınladı. Ivanti, güncellemenin güvenlik açıklarından etkilenen Microsoft yazılım ve uygulamalarının sayısını artırdığını ve bunlar için bir yama sağladığını söyledi. Güvenlik satıcısı, dört güncellenmiş yamayı CVE-2022-43552, CVE-2022-23257, CVE-2022-23825 ve CVE-2022-23816 olarak tanımladı.