Microsoft’un Nisan 2023 için Salı Yaması güvenlik güncelleştirmesi, fidye yazılımı saldırılarında aktif istismar kapsamında sıfır gün hatası ve bir tehdit aktörünün yakın zamanda bir tedarik zinciri saldırısında yararlandığı 2013’teki bir kusur için düzeltmenin yeniden yayımlanmış hali de dahil olmak üzere 97 CVE için yamalar içeriyor 3CX’te ve ciddiyet açısından kritik olarak derecelendirilen bir solucan hatası.
Microsoft, bu ay düzelttiği toplam yedi hatanın kritik öneme sahip olduğunu belirledi; bu da genellikle kuruluşların yama uygulama açısından bunları birinci öncelik haline getirmesi gerektiği anlamına gelir.
Fidye Yazılım Saldırılarında Kullanılan Zero-Day
Nisan güncellemesindeki güvenlik açıklarının yaklaşık yarısı veya 45’i, Microsoft’un önceki üç ayın her birinde bildirdiği ortalama 33 RCE hatasına göre önemli bir artış olan uzaktan kod yürütmeyi (RCE) etkinleştiriyor. Buna rağmen şirket, son gruptaki CVE’lerin yaklaşık %90’ını siber saldırganların yararlanma olasılığının düşük olduğu hatalar olarak derecelendirdi — yalnızca %9’u, tehdit aktörlerinin yararlanma olasılığının daha yüksek olduğu kusurlar olarak nitelendirildi.
CVE-2023-28252 olarak izlenen sıfır gün hatası, Windows Ortak Günlük Dosya Sisteminde (CLFS) Windows 10 ve Windows Server’ın desteklenen tüm sürümlerini etkileyen bir ayrıcalık yükselmesi güvenlik açığıdır. Bu, son aylardaki ikinci CLFS sıfır günü – diğeri CVE-2022-37969’du – ve zaten platforma erişimi olan rakiplere, sistem seviyesinde yüksek düzeyde ayrıcalıklı ayrıcalıklar kazanmanın bir yolunu sunuyor.
Automox’ta güvenlik araştırmacısı olan Gina Geisel, “Bu güvenlik açığı, bir cihazdan aktif olarak yararlanmak için mevcut sistem erişiminden yararlanıyor ve CLFS sürücüsünün bir sistemdeki bellekteki nesnelerle nasıl etkileşime girdiğinin bir sonucudur” dedi. Saldırganın kusurdan yararlanabilmesi için bir sistemde oturum açması ve ardından ayrıcalıkları yükseltmek için kötü amaçlı bir ikili dosya çalıştırması gerekir.
Geisel, Dark Reading’e e-postayla gönderilen yorumlarda, “Automox, bu aktif olarak yararlanılan bir sıfır gün olduğundan, yama dağıtımını 24 saat içinde öneriyor” dedi.
Microsoft’un güncellemesiyle birlikte yayınlanan bir blog gönderisinde Kaspersky, araştırmacılarının Kuzey Amerika, Orta Doğu ve Asya’daki küçük ve orta ölçekli kuruluşlara ait sistemlere Nokoyawa fidye yazılımı dağıtmak için CVE-2023-28252’den yararlanan bir tehdit aktörü gözlemlediklerini söyledi. Güvenlik satıcısının analizi, açıklardan yararlanmaların CLFS’yi hedefleyen halihazırda bilinen sürücü açıklarından yararlanmalara benzer olduğunu gösteriyor.
Analize göre, “Kodunun %80’inden fazlasının zarif bir şekilde ikili dosyaya derlenmiş ‘önemsiz’ olmasıyla açıktan yararlanma oldukça karmaşıktı.” Kaspersky araştırmacıları, Şubat ayında bir rakibin onu fidye yazılımı saldırılarında kullandığını gözlemledikten sonra hatayı Microsoft’a bildirdiklerini söyledi.
Geçmişten Bir Yama
Microsoft’un Nisan güncellemesinde yer alan ve araştırmacıların kuruluşların dikkat etmesini önerdiği bir diğer yama, Windows WinVerifyTrust işlevindeki 10 yıllık bir imza doğrulama güvenlik açığı olan CVE-2013-3900’dür. Kuzey Koreli Lazarus Group olduğuna inanılan bir tehdit aktörü, kısa bir süre önce 3CX’e yönelik bir tedarik zinciri saldırısındaki kusurdan yararlandı ve bu, şirketin video konferans yazılımı kullanıcılarına ait sistemlere kötü amaçlı yazılım inmesine neden oldu.
Microsoft, yamayı 2013’te yayınladığında, düzeltmenin bazı kuruluşlar için sorunlara neden olma potansiyeli nedeniyle şirket, düzeltme ekini isteğe bağlı bir düzeltme eki haline getirmeye karar vermişti. Nisan güvenlik güncelleştirmesi ile Microsoft, düzeltmeyi daha fazla platform için kullanılabilir hale getirdi ve kuruluşların sorunun nasıl ele alınacağına ilişkin daha fazla öneri sağladı.
Trend Micro Zero Day Initiative (ZDI) araştırmacısı Dustin Childs bir blogda “Microsoft Güvenilir Kök Programı hakkındaki bilgiler de dahil olmak üzere tüm önerileri incelemek için kesinlikle zaman ayırın ve ortamınızı korumak için gereken önlemleri alın.” dedi. postalamak.
Çok Sayıda RCE Güvenlik Açıkları
Araştırmacılar, April’ın toplu işinde acil eylem gerektiren iki kritik güvenlik açığı belirlediler. Bunlardan biri CVE-2023-21554’tür.
Hata, Microsoft Message Queuing (MSMQ) teknolojisini etkiliyor ve saldırganlara bir MSMQ sunucusuna özel hazırlanmış bir MSMQ paketi göndererek RCE elde etme yolu sunuyor. Automox araştırmacısı Peter Pflaster, e-postayla gönderilen yorumlarda, güvenlik açığının sistemlerinde mesaj kuyruğu özelliğinin etkinleştirildiği Windows 10, 11 ve Server 2008-2022 sistemlerini etkilediğini söyledi. Şirket, tehdit aktörlerinin güvenlik açığından yararlanma olasılığının daha yüksek olduğunu belirttiğinden, yöneticiler bu sorun için en kısa sürede Microsoft yamasını uygulamayı düşünmelidir.
Bu, Microsoft’un bu hafta düzelttiği Windows Message Queuing sistemini etkileyen iki kritik güvenlik açığından yalnızca biri. Diğeri ise CVE-2023-21554 gibi Windows Pragmatik Çok Noktaya Yayın’daki bir güvenlik açığı olan CVE-2023-28250’dir ve taban puanı 9,8’dir ve potansiyel olarak solucan olabilir.
Qualys güvenlik açığı ve tehdit Araştırması Direktörü Bharat Jogi, “Salı günü MSFT bu yama, bazı kritik kusurları düzeltti; kuruluşlara, aktif olarak istismar edilen ve solucanlara yol açabilen güvenlik açıklarını yamalamaya öncelik vermelerini tavsiye ediyoruz” dedi.
Derhal düzeltilmesi gereken diğer kritik güvenlik açığı, DHCP Sunucusu hizmetindeki bir RCE hatası olan CVE-2023-28231’dir. Microsoft, hatayı, saldırganların deneyip silah haline getirme olasılığının daha yüksek olduğu başka bir sorun olarak değerlendirdi. Bir saldırganın bu açıktan yararlanabilmesi için bir ağda önceden erişime sahip olması gerekir. Ancak, Immersive Labs siber tehdit araştırma direktörü Kevin Breen’e göre, düşman bir kez onu ele geçirdiğinde DHCP sunucusunda uzaktan kod yürütmeyi başlatabilir.
Breen, e-postayla gönderilen yorumlarda “Microsoft, DHCP hizmetlerinin Etki Alanı Denetleyicilerine yüklenmemesini öneriyor, ancak daha küçük kuruluşlar genellikle DC ve DHCP hizmetlerinin aynı yerde bulunduğunu görecek. Bu durumda etki çok daha yüksek olabilir,” diye uyardı. DHCP sunucuları üzerinde denetime sahip olan saldırganların, hizmet olarak yazılım (SaaS) ürünleri için kimlik bilgilerini çalmak veya ortadaki makine (MITM) saldırılarını gerçekleştirmek dahil olmak üzere ağda önemli ölçüde hasara yol açabileceğini belirtti.