Sonbahar başladığında ve güvenlik ekiplerinin düşünceleri sislere ve yumuşak verimliliğe dönüştüğünde, Microsoft’un Salı Yaması güncellemesi yaprakların döneceğine dair kesin bir güvenceyle geliyor ve bu ay dikkate alınması gereken iki aktif olarak yararlanılan sıfır gün ve dikkate değer beş kritik puanlı güvenlik açığı var 60’ın üzerinde yeni giderilmiş hatanın genel toplamı.
Bu ayın sıfır günleri, Microsoft Word’deki CVSS puanı 6,2 olan ve CVE-2023-36761 olarak atanan bir bilginin açığa çıkması güvenlik açığı ve Microsoft Streaming Service Proxy’deki CVSS puanı 7,8 olan bir ayrıcalık yükselmesi (EoP) güvenlik açığıdır. CVE-2023-36802 atandı.
Bunlardan ilki kamuoyuna duyuruldu ve istismar edildiği biliniyor; ikincisi ise kamuya açık bir kavram kanıtı olmadan istismar ediliyor, ancak bunun kısa sürede gerçekleşeceği kesin.
Rapid7 baş yazılım mühendisi Adam Barnett, Computer Weekly’ye CVE-2023-36761’in başarılı bir şekilde kullanılmasının Windows Yeni Teknoloji LAN Yöneticisi (NTLM) karmalarının ifşa edilmesine yol açabileceğini ve bir tehdit aktörüne Karma Geçişi gerçekleştirme olanağı sağlayabileceğini söyledi. hash’e kaba kuvvet uygulamak zorunda kalmadan saldırı yapın.
Barnett, “Microsoft, CVE-2023-36761’in potansiyel etkisinden açıkça endişe duyuyor çünkü yalnızca Word’ün mevcut sürümleri için değil, aynı zamanda Nisan 2023’te uzatılmış bitiş tarihine ulaşan Word 2013 için de yamalar sağlıyor” dedi. “Mart ayında Microsoft, Outlook’ta NTLM hash sızıntılarına da yol açan ve o dönemde büyük ilgi gören bir güvenlik açığı olan CVE-2023-23397’yi yamaladı.”
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang ayrıca şunları kaydetti: “Bu güvenlik açığından yararlanılması yalnızca potansiyel bir hedefin kötü amaçlı bir Word belgesini açmasıyla sınırlı değildir, çünkü yalnızca dosyanın ön izlemesi istismarın tetiklenmesine neden olabilir.”
Bu arada CVE-2023-36802, bir çekirdek sürücüsünün kötü niyetli kullanımı yoluyla sistem düzeyinde ayrıcalıklar vermek için kullanılabilir.
“Microsoft yaygın bir istismar tespit etti ancak kamuya açık bir istismar kodunun farkında değil. Bu, Microsoft Streaming Service için ilk Salı Yaması görünümüdür, ancak dünyanın dört bir yanından birçok araştırmacının tavsiye niteliğindeki tavsiyeyi kabul etmesi nedeniyle bunun son olması pek olası değildir. Doğadaki kullanımın yayınlanmadan önce onaylanması, bunun bir ilgi alanı olarak kalacağını garanti ediyor” dedi Barnett.
Narang ekledi: “[This] 2023’te yaygın olarak istismar edilen sekizinci ayrıcalık yükseltme sıfır gün güvenlik açığıdır. Saldırganların kuruluşları ihlal etmek için sayısız yolu olduğundan, yalnızca bir sisteme erişim sağlamak her zaman yeterli olmayabilir; bu da ayrıcalık yükseltme kusurlarının bu kadar fazla olduğu yerdir. daha değerli, özellikle sıfır günler.”
Kritik sorunlar
Bu ay açıklanan beş kritik güvenlik açığı, 7,5’ten 8,8’e kadar CVSS puanlarına sahip ve dört uzaktan kod yürütme (RCE) sorununu ve bir EoP kusurunu içeriyor. CVE sırasına göre bunlar:
Gözlemciler, bu kritik güvenlik açıkları arasında Azure Kubernetes açık kaynak konteyner düzenleme platformundaki kusurun daha tehlikeli bir duruma dönüşebileceği konusunda uyarıyor.
Immersive Labs siber güvenlik mühendisi Nikolas Cemerkic şu yorumu yaptı: “Bu güvenlik açığından yararlanan bir saldırgan, Küme Yönetimi ayrıcalıkları kazanabilecektir. Yönetici erişimine sahip olmak, saldırganın tüm küme üzerinde kontrole sahip olacağı ve potansiyel olarak hizmetleri tehlikeye atabileceği veya hizmetleri kesintiye uğratabileceği anlamına gelir. Küme içinde barındırılan ve PCI gibi katı, sıkı düzenleyici uyumluluk önlemlerini takip etmesi gereken herhangi bir uygulamanın dikkate alınması gerekir. [Payment Card Industry]ihlal etmelerine neden olabilir. Bu, yasal sonuçlara ve itibar kaybına yol açabilir.
“Bu saldırının karmaşıklığı düşük olarak etiketlendiğinden, bu, bir saldırganın bu güvenlik açığından yararlanmak için Kubernetes kümesi veya sistemleri hakkında önemli bir ön bilgiye ihtiyaç duymayacağını gösteriyor.
“Kubernetes Hizmetinin güncellenmesi bu güvenlik açığının giderilmesinde çok önemli bir adım olsa da, sağlam güvenlik önlemlerinin uygulanması ve şüpheli etkinliklerin izlenmesi de önemlidir. Ek olarak, olası etkiyi en aza indirmek için herhangi bir güvenlik ihlalini hızlı bir şekilde tespit etmek ve azaltmak için bir olay müdahale planına sahip olmak önemlidir” diye ekledi.
Automox ürün güvenliği yöneticisi Tom Bowyer’a göre, Visual Studio’daki kritik güvenlik açıkları (aynı üründe daha az ciddi olan beş tane daha var) hemen dikkate alınmaya değer.
“Visual Studio’nun geliştiriciler arasındaki yaygın kullanımı göz önüne alındığında, bu tür güvenlik açıklarının etkisi domino etkisi yaratabilir ve zararı başlangıçta tehlikeye atılan sistemin çok ötesine yayabilir. Bu nedenle yamaları hemen uygulamak, geliştirme ortamınızın güvende kalmasını sağlamak çok önemli” diye açıkladı.
“Visual Studio’daki RCE ve EoP güvenlik açıkları gerçek ve önemli bir tehlike oluşturuyor. Bu tür bir güvenlik açığı, saldırgana sisteminizde kötü amaçlı kod çalıştırma yeteneği vererek, potansiyel olarak etkilenen ortam üzerinde tam kontrol sahibi olma olanağı verebilir.
“En kötü senaryoda bu, özel kaynak kodunun çalınması veya bozulması, arka kapıların açılması veya uygulamanızı başkalarına yönelik saldırılar için bir fırlatma rampasına dönüştürebilecek kötü niyetli müdahaleler anlamına gelebilir.”
Tema melodisi
Son olarak bu ay, Sophos X-Ops’tan Christopher Budd, Windows Temalarındaki bir RCE güvenlik açığı olan CVE-2023-38146’yı vurguladı; bu özellik, kullanıcıların masaüstü arka planını ve simge yerleşimini özelleştirmesine olanak tanıyor. Kötü amaçlarla oluşturulmuş bir .theme dosyasıyla kullanıcıları hedef alarak bu durumdan yararlanılabilir ve kurumsal kullanıcılardan ziyade tüketici kullanıcılar için daha fazla risk oluşturabilir.
Budd, “Temalar doğası gereği birçok kullanıcı için ‘eğlenceli’ bir özelliktir” dedi. “İnsanlar çalışma alanlarını özelleştirmekten hoşlanıyorlar, bu nedenle resmi Microsoft mağazasında aktif olarak yeni temalar arıyorlar, temaları kurumsal ağlarda paylaşıp indiriyorlar, hatta yanlışlıkla bunları indirmek için şüpheli üçüncü taraf kaynaklarına ulaşıyorlar.”