Nisan 2023 Salı Yaması ve Microsoft, aktif olarak yararlanılan sıfır gün (CVE-2023-28252) dahil olmak üzere 97 CVE numaralı güvenlik açığı için düzeltmeler yayınladı.
CVE-2023-28252 hakkında
CVE-2023-28252, Windows Ortak Günlük Dosya Sisteminde (CLFS) yer alan ve saldırganların hedef makinelerde SİSTEM ayrıcalıkları kazanmasına olanak tanıyan bir güvenlik açığıdır.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, Help Net Security’ye “Son iki yılda saldırganlar, taviz sonrası etkinliğin bir parçası olarak ayrıcalıkları yükseltmek için CLFS’yi hedef alarak başarılı olmuş gibi görünüyor” dedi.
“CVE-2023-28252, bu yıl vahşi ortamda kullanılan ikinci CLFS ayrıcalık sıfır gün yükseltmesidir (ilki CVE-2023-23376 idi, Şubat’ta yamalıydı) ve son iki yılda dördüncüsü. Ayrıca bu, Mandiant ve DBAPPSecurity’den araştırmacılar tarafından Microsoft’a açıklanan ikinci CLFS sıfır günüdür, ancak bu keşiflerin her ikisinin de aynı saldırganla ilgili olup olmadığı net değildir.”
Trend Micro Inc.’in Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs, Şubat ayı düzeltmesinin yetersiz olabileceğini ve saldırganların bu düzeltmeyi atlamak için bir yöntem bulmuş olabileceğini öne sürdü – ancak bunu doğrulamak için yeterli bilgi yok. .
“Bu tür bir istismar, genellikle kötü amaçlı yazılım veya fidye yazılımı yaymak için bir kod yürütme hatasıyla birlikte kullanılır. Bu yamayı kesinlikle hızlı bir şekilde test edin ve dağıtın,” diye ekledi.
Dikkat edilmesi gereken diğer güvenlik açıkları
CVE-2023-21554, Microsoft Message Queuing hizmetindeki (tüm Windows işletim sistemlerinde bulunan isteğe bağlı bir Windows bileşeni) kritik bir uzaktan kod yürütme güvenlik açığıdır. Bir MSMQ sunucusuna gönderilen özel hazırlanmış kötü amaçlı bir MSMQ paketi ile tetiklenebilir.
QueueJumper olarak adlandırılan bu güvenlik açığı, Check Point’in ana güvenlik açığı araştırmacısı Haifei Li ve Fortinet’in FortiGuard Laboratuvarı’ndan Wayne Low tarafından bulunan üç güvenlik açığından biridir: diğer ikisi CVE-2023-21769 ve CVE-2023-28302’dir ve yalnızca reddedilmeyle sonuçlanabilir. hizmet durumu.
“‘Unutulmuş’ MSMQ hizmetindeki bu yetkisiz RCE hatasının (CVE-2023-21554) büyük etkisi olabilir. Windows yöneticisiyseniz, ortamlarınızı en kısa sürede kontrol etmeniz gerekir (hizmeti farkında olmadan etkinleştirmiş olabilirsiniz),” Li açıkladı.
“Bu basit bir hata, yetkisiz – 1801/TCP’ye ulaşabilen herkes tek bir paketle hatayı tetikleyebilecek. Yani yama yama! ve güvenilmeyen bağlantıları engellemek için güvenlik duvarlarınızı kontrol edin!”
Li, araştırmaları sırasında MSMQ hizmetini çalıştıran 360.000’den fazla İnternet’e bakan IP ve İnternet’e açık 1801 bağlantı noktası bulduklarını da paylaştı. Ayrıca, “resmi Microsoft Exchange Server’ı kurarken, kurulum sihirbazı uygulaması, kullanıcı ‘Exchange’i yüklemek için gerekli olan Windows Server rollerini ve özelliklerini otomatik olarak yükle’ seçeneğini seçerse arka planda MSMQ hizmetini etkinleştirir. Microsoft.”
Check Point araştırması, güvenlik açıklarıyla ilgili teknik ayrıntıları bu ayın sonlarında yayınlayacak, böylece yöneticilerin yamaları veya bir geçici çözümü uygulamak için zamanları olacak: güvenilmeyen kaynaklardan 1801/TCP bağlantı noktasına gelen bağlantıları engellemek.
Microsoft ayrıca MSMQ hizmetiyle yüklenen Pragmatik Genel Çok Noktaya Yayın protokolünde kritik bir RCE olan CVE-2023-28250’yi de düzeltti. Şirket, “Windows Message Queuing hizmeti etkinleştirildiğinde, bu güvenlik açığından başarıyla yararlanan bir saldırgan, ağ üzerinden özel hazırlanmış bir dosya göndererek uzaktan kod yürütme gerçekleştirebilir ve kötü amaçlı kodu tetiklemeye çalışabilir” dedi.
Child ayrıca, Microsoft’un yakın zamanda 3CX tedarik zinciri saldırısında saldırganlar tarafından istismar edilen eski bir WinVerifyTrust İmza Doğrulama güvenlik açığı olan CVE-2013-3900’ü yeniden yayınladığına dikkat çekti.
Düzeltme hala isteğe bağlıdır ve sistem kayıt defterinde bir anahtar ayarlamayı içerir.
“Anonim bir saldırgan, imzayı geçersiz kılmadan dosyaya kötü amaçlı kod ekleyecek şekilde dosyanın doğrulanmamış bölümlerinden yararlanmak için mevcut imzalı yürütülebilir bir dosyayı değiştirerek bu güvenlik açığından yararlanabilir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etkilenen sistemin tüm denetimini ele geçirebilir.”
“Etkinleştirildiğinde, yeni daha sıkı doğrulama davranışı, öncelikle Windows Authenticode imza biçimiyle imzalanmış taşınabilir yürütülebilir (PE) ikili dosyalar için geçerlidir. Etkilenme olasılığı en yüksek olan ikili dosyalar, indirme sırasında özelleştirilen ve İnternet yoluyla dağıtılan PE yükleyici dosyalarıdır. Kullanıcıların bir etki algılayabilecekleri en yaygın senaryo, yeni uygulamaların indirilmesi ve kurulması sırasındadır. Bu, yalnızca müşterilerin daha sıkı doğrulama davranışını etkinleştirmeyi seçmesi durumunda geçerlidir; bundan sonra kullanıcılar, doğrulamayı geçemeyen imzalarla yeni uygulamalar yüklemeye çalışırken uyarı mesajlarını görebilir.”