Microsoft’un Şubat ayı güvenlik güncelleştirmesi, nadir görülen herhangi bir kritik güvenlik açığı içermiyordu. Ancak güvenlik uzmanları bu hafta, güncellemede acil ilgiyi hak edecek çok sayıda ciddi güvenlik açığı olduğunu söyledi.
En büyük endişeler arasında Windows DNS Sunucusu uzaktan kod yürütme (RCE) güvenlik açığı (CVE-2022-21984), Windows 32K ayrıcalık yükseltme hatası (CVE-2022-21989), SharePoint sunucusunda bir RCE (CVE-2022-22005) yer alıyor. ) ve şirketin sürekli olarak güvenli olmayan Windows Yazdırma Biriktiricisi teknolojisindeki bir dizi güvenlik açığı, bunlardan biri zaten bir istismara sahiptir.
Güvenlik açıkları bir dizi arasında 51 kusur Microsoft’un bu hafta yamaladığı. Bu, onu Microsoft’un bir süredir yayınladığı daha küçük aylık güvenlik güncellemelerinden biri haline getirdi. Örneğin, geçen ayki sürümde 96 güvenlik açığı için düzeltmeler bulunurken, Aralık ayındaki sürümde Emotet fidye yazılımını yaymak için kullanılan sıfırıncı gün kusuru da dahil olmak üzere 67 kusur için düzeltme eki vardı.
Trend Micro’nun ZDI iletişim yöneticisi Dustin Childs, “Uzun bir süredir ilk kez bu ay kritik olarak derecelendirilmiş bir hata olmadı” diyor. “51 yamadan 50’si Önemli ve biri Orta olarak derecelendirildi” diye belirtiyor.
Çocuk tespit edildi CVE-2022-21984Windows DNS Sunucusu’ndaki RCE kusuru, kuruluşların, özellikle dinamik güncellemeleri etkinleştirilmişse, öncelikli olarak düzeltmesi gereken bir güvenlik açığı olarak.
“DNS sunucuları, bir işletmenin ‘taç mücevherlerinden’ biridir ve çekici hedefler oluşturur” diyor.
Microsoft’un güvenlik açığıyla ilgili açıklaması – şirketin bu günlerde ifşa ettiği tüm güvenlik açıklarında olduğu gibi – kusurun doğası veya kuruluşlar için oluşturabileceği tehdit hakkında çok az bilgi verdi. Şirket, güvenlik açığını yalnızca, kötüye kullanılması durumunda verilerin gizliliği, bütünlüğü ve kullanılabilirliği üzerinde yüksek bir etkiye sahip olarak nitelendirdi. Microsoft, kusurdan yararlanmanın çok az saldırı karmaşıklığı, düşük ayrıcalıklar ve kullanıcı etkileşimi içermediğini söyledi.
Tripwire güvenlik Ar-Ge müdürü Tyler Reguly, “DNS güvenlik açığı, yalnızca DNS sunucusu olduğu için büyük bir sorundur” diyor. “Maalesef bu, Microsoft’un eski tarz bilgilendirici bültenlerden bugün elde ettiğimiz şifreli rehberliğe gerilemesinin, endişenin tam olarak nerede olduğunu anlamayı zorlaştırdığı bir durum.”
Daha Fazla Yazdırma Biriktiricisi ‘Kabuslar’
Güvenlik uzmanları ayrıca kuruluşların Yazdırma Biriktiricisi’ndeki dört güvenlik açığı için Microsoft’un bu hafta yayınladığı yamaları hızla uygulamalarını tavsiye ediyor: CVE-2022-21999, CVE-2022-22718, CVE-2022-21997ve CVE-2022-22717. Dört güvenlik açığının tümü, istismar edilirse, ayrıcalıkların yükseltilmesine olanak tanır; bu, tipik olarak bir saldırganın, kusurlardan yararlanmak için bir sistemi zaten tehlikeye atmış olması gerektiği anlamına gelir.
Ancak, Windows Yazdırma Biriktiricisi’nin hemen hemen her yerde bulunması ve ne kadar sorunlu olduğu için saldırganların teknolojiyi sıklıkla hedef alması, kuruluşların yeni kusurları hızla düzeltme ihtiyacını artırıyor. Bu hafta açıklanan Yazdırma Biriktiricisi kusurlarından biri (CVE-2022-21999) için yararlanma kodu zaten mevcut.
Immersive Labs siber tehdit araştırması direktörü Kevin Breen, kuruluşların Yazdırma Biriktiricisi kusurlarından maruz kalabileceği maruziyetin bir örneği olarak geçen Temmuz’daki sözde “PrintNightmare” güvenlik açığına işaret ediyor. PrintNightmare, neredeyse tüm Windows sürümlerinde bulunan ve uzaktaki saldırganlara savunmasız sistemlerin tam kontrolünü ele geçirmenin bir yolunu sunan bir RCE kusuruydu. Saldırganların etki alanı denetleyicilerinin ve Active Directory yönetici sunucularının kontrolünü ele geçirmek için kusuru kullanmasına ilişkin endişeler, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı kuruluşları tüm kritik sistemlerde Yazdırma Biriktiricisini devre dışı bırakmaya teşvik etmeye sevk etti.
Breen, yeni Yazdırma Biriktiricisi kusurlarında olduğu gibi, Microsoft başlangıçta PrintNightmare’i yerel bir saldırı vektörü olarak tanımladı; bu, bir saldırganın ayrıcalıkları yükseltmek için zaten standart bir kullanıcı hesabına erişmesi gerekeceği anlamına geliyor.
“Araştırmacılar ve saldırganların nasıl kullanılacağını keşfetmesi çok uzun sürmedi. [PrintNightmare] uzaktan,” diye açıklıyor. “Bu durumda bu henüz belirlenmedi, ancak tarih bize bu olasılığı göz ardı etmememiz gerektiğini öğretti.”
Bu arada, Windows 32 çekirdek ayrıcalık yükseltme hatası (CVE-2022-21989) ele alınması önemlidir, çünkü kusur için kavram kanıtından yararlanma kodu zaten kullanılabilir hale gelmiştir. Microsoft, kusuru istismar edilmesi “daha olası” olarak değerlendirdi ve saldırganlara düşük ayrıcalık kullanmanın bir yolunu verdi. Uygulama Konteyneri rasgele kod çalıştırmak veya savunmasız sistemlerdeki kaynaklara erişmek için ayrıcalıkları yükseltmek.
Ivanti’nin ürün yönetimi başkan yardımcısı Chris Goetti, “Silahlaştırılmış bir istismar için ilk araştırma çalışmalarının çoğu zaten yapıldı ve ayrıntılar tehdit aktörlerine kamuya açık olabilir” diyor.
Goetti, CVE’nin belirli bir uygulamayı çalıştırmak için tasarlanan ve yalnızca çalışması için ihtiyaç duyduğu kaynaklara erişmesine izin veren AppContainer’a özel olduğunu ekliyor. “AppContainer’da çalışan bir uygulama, ayrıcalıklarını AppContainer tarafından sağlananların ötesine yükseltmek için bu güvenlik açığını kullanabilir” diyor.
Breen ayrıca SharePoint Server’da bir RCE kusuruna işaret ediyor (CVE-2022-22005) bir Microsoft’un istismar edilme olasılığının daha yüksek olduğunu işaretlediği gibi. Bunu, SharePoint’i dahili wiki’ler veya belge depoları için kullanan kuruluşlar için olası bir sorun olarak tanımlıyor. Bu durumlarda, saldırganların gizli bilgi ve belgeleri çalmak veya değiştirmek için kusurdan yararlanabileceğini söylüyor.
Seyrek Güvenlik Açığı Bilgileri
Tripwire’dan Reguly, Şubat ayının “çok sayıda yama açısından kesinlikle daha hafif bir ay olduğunu” söylüyor. Bununla birlikte, en son Microsoft güvenlik güncellemesi, şirketten daha fazla bilginin, kuruluşların güvenlik açıklarını daha iyi anlamasına ve bunları daha iyi bir bağlama oturtmasına yardımcı olacağı başka bir örnek olduğunu söylüyor.
Reguly, “Yıllardır gördüğümüz devam eden bir sorun” diyor. “Microsoft’un sağladığı bağlam ve içerik, bu günlerde hiçbir bilgi sağlama noktasına kadar yıllar içinde aşındı.”.
Örneğin, bu ay Microsoft mağazasına işaret eden güvenlik açığı önerilerinin birçoğunun Salı Yaması’nda herhangi bir güncelleme bulunmadığını söylüyor. Microsoft, yıllar boyunca yeterli bilgiyi ifşa etmediği için defalarca çağrıldı ve zaman zaman şirket geri döndü ve bir güvenlik açığına ek ayrıntılar ekledi.
Reguly, “Maalesef gerçek şu ki Microsoft, kamuya açık bilgileri yıllar içinde azalttı ve bilinçli kararlar vermek için güvenlik açıkları hakkında veri toplamayı giderek zorlaştırıyor” diyor.
Immersive Labs’deki Breen de aynı fikirde. “CVE’leri yayınlarken, hangi bileşenden ve nasıl yararlanıldığına dair daha fazla teknik ayrıntı sağlayan bir açıklama alanı eklemek yaygın bir şeydir” diye belirtiyor.
Ancak Breen, Kasım 2020’den beri Microsoft’un bu özeti CVE raporlarına dahil etmeyi bıraktığını söylüyor. Microsoft o zaman kendisini Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) ile daha uyumlu hale getirme çabası olarak güvenlik güncellemesi kılavuzunun yeni sürümüne geçme nedenini açıklamıştı.
Ancak Breen, değişikliğin yardımcı olmadığını söylüyor.
“Bu, kuruluşların risk veya hafifletmelere dayalı olarak önceliklendirme yapmasını çok daha zor hale getiriyor” diyor. Breen, “Bunun yerine, Microsoft’un basit ‘Sömürü Daha Muhtemel’ veya ‘Sömürü Daha Az Muhtemel’ sınıflandırmasına güvenmek zorundalar” diyor.