Yönetişim ve Risk Yönetimi , Yama Yönetimi
Bilgi İşlem Devi, Kötü Amaçlı Makrolarla Mücadeleye Devam Ediyor
Prajeet Nair (@prajeetspeaks) •
15 Şubat 2023
Microsoft, Şubat ayındaki aylık düzeltme dökümünde, kötü amaçlı makroların otomatik olarak yürütülmesini önleyen Office güvenlik özelliklerini atlayarak kullanıcıları bir dosya indirmeye ikna eden de dahil olmak üzere, aktif olarak yararlanılan üç sıfır gün güvenlik açığını yamalıyor.
Ayrıca bakınız: Risk Yönetimi Stratejisi Olarak Yama Yönetimi
Toplamda, bilgi işlem devi, şirketin dokuzunu “kritik” olarak sınıflandırdığı 77 güvenlik açığı için düzeltmeler yaptı. Sıfır-günler “önemli” olarak sınıflandırılır ve 7,8 veya daha düşük CVSS derecelerine sahiptir.
Microsoft, Office paketinin komut dizilerini yürütme yeteneğinden yararlanan bilgisayar korsanlarına karşı neredeyse sürekli bir arka koruma eylemiyle mücadele etti. 2021’de güvenlik araştırmacısı ve eski Microsoft çalışanı Kevin Beaumont, makroları Office müşterilerinin karşılaştığı “en büyük siber güvenlik sorunlarından biri” ve fidye yazılımına yönelik ortak bir ağ geçidi olarak nitelendirdi. Yıllar süren baskının ardından Microsoft, 2022’de varsayılan olarak internetten indirilen belgelerde makroların yürütülmesini engellemeye başladı. Bilgisayar korsanları, bu ay yamalanan ve CVE-2023-21715 olarak belirlenen güvenlik açığı da dahil olmak üzere makro bloğu aşmanın yollarını arayarak yanıt verdi.
Microsoft, saldırının, kimliği doğrulanmış bir kullanıcının “özel hazırlanmış bir dosyayı” indirip açmasını gerektirdiğini ve saldırganın güvenilmeyen veya kötü amaçlı dosyaları engellemek için kullanılan Office makro ilkelerini atlamasına izin verdiğini söylüyor.
Dustin Childs, “Güvenlik özelliği atlamasından çok bir ayrıcalık yükseltme gibi geliyor, ancak ne olursa olsun, ortak bir kurumsal uygulamadaki aktif saldırılar göz ardı edilmemelidir. Siber güvenlik firması Trend Micro tarafından yürütülen bir yazılım güvenlik açığı girişimi olan Zero Day Initiative’de güvenlik analisti.
Güvenlik uzmanları, Windows Grafik Bileşenini etkileyen bir uzaktan kod yürütme güvenlik açığı olan CVE-2023-21823 konusunda da oldukça endişeli olduklarını söylüyor.
“Windows işletim sistemindeki güvenlik açığından yararlanılırsa, saldırganın sistem ayrıcalıkları kazanmasına izin verebilir. Açıklardan yararlanma, uygulamalar için uzaktan kod yürütülmesine yol açabilir. Windows müşterilerinin en son işletim sistemi sürümüne güncellemeleri isteniyor,” dedi başkan yardımcısı Chris Goettl. BT ve güvenlik otomasyon hizmetleri sağlayıcısı Ivanti’de ürün yönetimi başkanı.
Aktif olarak yararlanılan ve CVE-2023-23376 olarak izlenen son güvenlik açığı, Windows Ortak Günlük Dosyası Sistemi Sürücüsünü etkiler ve ayrıcalık yükselmesi güvenlik açığına neden olur. Saldırganın koddan yararlanmasına ve sistem ele geçirmesine izin verir.
Microsoft ayrıca CVSS risk puanı 8,8 olan ve CVE-2023-21529 olarak izlenen bir Exchange sunucusu kusurunu da düzeltti.
Rapid7 baş yazılım mühendisi Adam Barnett, bunun Windows 8.1 için Genişletilmiş Güvenlik Güncelleştirmelerinin sona ermesinden sonraki Salı günü ilk Yama olduğunu söyledi ve Windows Server 2008 bulut sunucularından sorumlu yöneticileri, Windows Server 2008 için ESU’nun artık yalnızca şu adreste barındırılan bulut sunucuları için mevcut olduğunu not etmeleri konusunda uyardı: Azure Stack aracılığıyla barındırılan Azure veya şirket içi örnekler.
Barnett, “Azure dışı bir bağlamda barındırılan Windows Server 2008 örnekleri artık güvenlik güncelleştirmeleri almayacak, bu nedenle yukarıda ele alınan iki sıfır gün de dahil olmak üzere tüm yeni güvenlik açıklarına karşı sonsuza kadar savunmasız kalacaktır” dedi.