Microsoft ürün ve hizmetlerinde kritik güvenlik açıklarının sonu gelmeyen bir yılın ardından Redmond, 2023’ün son Salı Yaması’nda siber güvenlik ekiplerine son dönemdeki en hafif güncellemelerden biri biçiminde erken bir Noel bonusu verdi. yalnızca 34 yaygın güvenlik açığı ve risk (CVE) listelenmiştir.
Hafif düşüş, Microsoft’un güvenlik ekiplerinin toplamda 909 CVE’yi ele aldığı son derece aktif bir 2023’ün sonunda geldi; bu rakam, 2022’ye göre biraz düşüş gösterdi; bunların arasında 23 tehlikeli sıfır gün de vardı.
Fortra’nın güvenlik araştırma ve geliştirmeden sorumlu üst düzey yöneticisi Tyler Reguly, “Microsoft’un özellikle neşeli olduğu ve bu tatil sezonunda dünyanın dört bir yanındaki yöneticilere biraz ara vermek istediği anlaşılıyor” dedi.
“Neyse ki bunların hiçbiri aşırı derecede endişe verici güvenlik açıkları olarak göze çarpmıyor; bu daha çok tipik bir şey Yama Salı Ücret. Açıkça söylemek gerekirse bu Yama Salı sıkıcı ve bu en iyi tür Yama Salı,” ekledi.
Rapid7 baş yazılım mühendisi Adam Barnett şunları söyledi: “Aralık Salı Yaması, güvenlik ekiplerine az sayıda yamayı içeren ve hiçbirinin vahşi ortamda istismar edildiği bildirilmeyen erken bir sezon hediyesi gibi görünebilir, ancak bu, kimsenin bu yamalarla rahat olması gerektiği anlamına gelmez. bir bardak sıcak şarap.
“Yayınlanan bazı yamaların ‘istismar edilme ihtimalinin daha yüksek’ olduğu belirlendi ve son birkaç yıldır gördüğümüz gibi, saldırganlar yeni yayımlanan yamalardan faydalanmakta hızlılar; yamadan istismara kadar geçen ortalama süre yedi gün sürüyor .
“Bu, tüm bu yamaların hemen dağıtılması gerektiği anlamına gelmiyor ancak güvenlik ekipleri bunları incelemeli, potansiyel iş riskini anlamalı ve riski azaltmak için gerektiğinde bunları kullanıma sunmalıdır.”
Kritik CVE güncellemeleri
Hafif yüke rağmen, en son Salı Yaması güncellemesi kritik CVE’ler için dört yeni güncellemenin yanı sıra sıfır gün bölgesine yaklaşan bir AMD kusuru içeriyor.
Kritik kusurlar sayısal sırayla şunlardır:
- CVE-2023-35628, Windows MSHTML Platformunda CVSS puanı 8,1 olan bir uzaktan kod yürütme (RCE) güvenlik açığı;
- CVE-2023-35630, İnternet Bağlantı Paylaşımı’nda CVSS puanı 8,8 olan bir RCE güvenlik açığı;
- CVE-2023-35641, yukarıdaki gibi;
- Ve Microsoft Power Platform Connector’da CVSS puanı 9,6 olan bir kimlik sahtekarlığı güvenlik açığı olan CVE-2023-36019.
Kuralı bunlar üzerinden çalıştıran Breen şunları söyledi: “CVE-2023-35628, HTML içeriğini oluşturmak için diğerlerinin yanı sıra Outlook tarafından hala kullanılan MSHTML özel tarayıcı motorundaki kritik bir RCE güvenlik açığını açıklıyor. Özellikle dikkat edilmesi gereken nokta: En endişe verici istismar senaryosu, Outlook’un özel hazırlanmış kötü amaçlı e-postayı alıp işlediği anda istismara yol açar.
“Bu, kullanıcının e-postayla herhangi bir şekilde etkileşim kurmasından önce istismarın gerçekleşebileceği anlamına geliyor; bu senaryoda Önizleme Bölmesi’ne bile gerek yok” dedi. “Başka saldırı vektörleri de mevcut: Kullanıcı ayrıca e-posta, anlık mesaj veya başka bir araç yoluyla alınan kötü amaçlı bir bağlantıya da tıklayabilir. Internet Explorer 11’in tamamen devre dışı bırakıldığı varlıklar yama uygulanana kadar hâlâ savunmasızdır; MSHTML motoru, IE11’in durumuna bakılmaksızın Windows’ta yüklü kalır.
“Bu ay ayrıca İnternet Bağlantı Paylaşımı’ndaki bir çift kritik RCE güvenlik açığı için yamalar da geliyor. CVE-2023-35630 ve CVE-2023-35641 bir takım benzerlikleri paylaşıyor: CVSS v3.1’in temel puanı 8,8, Microsoft kritik önem sıralaması, düşük saldırı karmaşıklığı ve muhtemelen hedef makinede sistem bağlamında yürütme, ancak tavsiyeler yürütme bağlamını belirtmeyin. Bununla birlikte, yararlanma yönteminin açıklaması ikisi arasında farklılık gösterir.
Breen, “Eylül 2023’te genel olarak benzer bir ICS güvenlik açığı, ICS sunucusundaki sistem bağlamında RCE’ye yol açtı” dedi. “Her üç durumda da hafifletici faktör, saldırının ICS sunucusuyla aynı ağ bölümünden başlatılması gerekliliğidir. Her ne kadar Microsoft bu olasılığı açıkça reddetmese de, bu ayki ICS güvenlik açıklarından herhangi birinin, ICS’nin çalışmadığı bir hedefe karşı kullanılabilir olması pek olası görünmüyor.”
Bu arada Action1’in başkanı ve kurucu ortağı Mike Walters, Microsoft Power Platform Connector’daki dördüncü kritik kusurun ayrıntılarını araştırdı. “Öncelikle kimlik sahtekarlığını içeren bu güvenlik açığı, bir saldırganın kötü amaçlı bir bağlantıyı veya dosyayı meşru bir bağlantı veya dosya gibi göstererek kullanıcıyı aldatmasına olanak tanıyor” dedi. “Güvenlik açığı ağ tabanlı bir saldırı vektörüne sahip, saldırı karmaşıklığı düşük ve sistem ayrıcalıkları gerektirmiyor, ancak yararlanılabilmesi için kullanıcı etkileşimi gerekiyor.
Walters, “Bu özel güvenlik açığı Microsoft Power Platform ve Azure Logic Apps’e özeldir” dedi. “Dolayısıyla bu uygulamaları kullanmıyorsanız sistemleriniz risk altında değildir.”
Son olarak, AMD güvenlik açığı CVE-2023-20588, bazı AMD işlemcilerinde spekülatif verilerin döndürülmesine olanak tanıyan sıfıra bölme hatasından kaynaklanan potansiyel bir bilgi ifşa kusurudur.
Bu güvenlik açığı herkese açıktır, ancak henüz hiç kimse herhangi bir aktif istismardan haberdar değildir ve eğer veriler bu güvenlik açığından açığa çıkacaksa, bir saldırgan riskli bölme operasyonunu kontrol edemediğinden ayrıcalıklı olmayabilir.
Bu güvenlik açığı, bir Windows güncellemesi gerektirdiğinden ve Microsoft’un tescilli ölçeğine göre önemli olarak derecelendirildiğinden Salı Yaması güncellemesine dahil edilmiştir. Düzeltme eki, Genişletilmiş Güvenlik Güncelleştirmesi şemasına kayıtlı Azure tarafından barındırılan varlıklar için Windows Server 2008’e kadar uzanan tüm desteklenen Windows sürümlerinde sorunu işletim sistemi düzeyinde düzeltir.
Bir yıllık heyecan
Bu yıl Microsoft’un toplam 909 CVE’yi ele aldığı görüldü; bu sayı 2022’de %1’den az da olsa düşüş gösterdi; 130 kusurun çözüldüğü Temmuz en yoğun ay oldu. Ekim ayında ayrıca 100’den fazla CVE’nin ele alındığı görüldü, ancak 2023 aynı zamanda 60’ın altında CVE’nin çözüldüğü dört ay olmasıyla da dikkate değerdi: Mayıs, Eylül, Kasım ve Aralık.
Bu yıl çözülen 909 kusurun %90’ından fazlası önemli olarak derecelendirildi; bunların %9,6’sı kritik olarak derecelendirildi; kabaca 2022 ile aynı seviyede; en yaygın güvenlik açıkları RCE (%36), EoP (%26) ve bilgi güvenliğine olanak sağlıyor açıklama (%12,5).
2023 yılında toplam 23 sıfır gün güvenlik açığı ele alındı; bunların yarısından fazlası, özellikle devlet destekli aktörler ve siber suçlular tarafından tercih edilen ayrıcalık yükseltme hatalarından oluşuyor. Bunlardan muhtemelen en öne çıkanı, Mart ayında yamalanan ve takip eden aylarda Fancy Bear olarak bilinen Rus aktör tarafından geniş çapta kullanılan CVE-2023-23397 idi.
Tenable’ın kıdemli araştırma mühendisi Satnam Narang, “Salı Yaması’nın rutin aylık ritmine rağmen, bilinen güvenlik açıklarının devam etmesi, sürekli organizasyonel çabalar gerektiriyor” dedi.
“Yılın Salı Yaması, çeşitli Microsoft ürünlerini kapsayan çok sayıda sıfır gün kusurunun ve kritik güvenlik açıklarının varlığıyla damgasını vuran olaylarla dolu olmaya devam etti. Bu, düzenli yama sürümlerine rağmen güçlü siber güvenliği sürdürme konusunda devam eden zorlukların altını çiziyor.”