Microsoft, Mayıs 2022 Salı Yaması güncellemesiyle, vahşi ortamda aktif olarak kullanılan önemli bir sıfır gün hatası ve muhtemelen işletmeler arasında yaygın olarak bulunan birkaçı da dahil olmak üzere 74 güvenlik açığını ortadan kaldırdı.
Ayrıca yedi kritik kusuru, 65 diğer önemli dereceli hatayı ve bir düşük önem dereceli sorunu düzeltti. Düzeltmeler, Windows ve Windows Bileşenleri, .NET ve Visual Studio, Microsoft Edge (Chromium tabanlı), Microsoft Exchange Server, Office ve Office Bileşenleri, Windows Hyper-V, Windows Kimlik Doğrulama Yöntemleri dahil olmak üzere bilgi işlem devinin portföyünün gamını çalıştırıyor. BitLocker, Windows Küme Paylaşılan Birimi (CSV), Uzak Masaüstü İstemcisi, Windows Ağ Dosya Sistemi, NTFS ve Windows Noktadan Noktaya Tünel Protokolü.
3 Sıfır Gün, 1 Aktif Olarak İstismar Edildi
Aktif olarak yararlanılan hata (CVE-2022-26925), CVSS güvenlik açığı-önem derecesi ölçeğinde 10 üzerinden 8,1 olarak derecelendirilen bir Windows LSA kimlik sahtekarlığı güvenlik açığıdır – ancak Microsoft, Windows NT LAN Manager’da (NTLM) kullanılıyorsa kritik düzeye (CVSS 9.8) yükseltilmesi gerektiğini belirtir. ) röle saldırıları.
“[A]Kimliği doğrulanmamış saldırgan LSARPC arabiriminde bir yöntem çağırabilir ve etki alanı denetleyicisini NTLM kullanarak saldırganın kimliğini doğrulamaya zorlayabilir,” Microsoft danışma belgesinde uyarıyor – etki alanı denetleyicilerinin ayrıcalıklara yüksek düzeyde erişim sağladığı düşünüldüğünde endişe verici bir durum.
Artık kullanımdan kaldırılan NTLM, kimlik bilgilerini ve oturum anahtarlarını kolayca ortaya çıkarabilen zayıf bir kimlik doğrulama protokolü kullanır. Bir geçiş saldırısında, kötü niyetli kişiler bir kimlik doğrulaması yakalayabilir ve bunu başka bir sunucuya iletebilir; bunu daha sonra, güvenliği ihlal edilmiş kullanıcının ayrıcalıklarıyla uzak sunucuda kimlik doğrulaması yapmak için kullanabilirler.
Bununla birlikte, Trend Micro Zero Day Initiative (ZDI) araştırmacısı Dustin Childs’ın açıkladığı bir yazıda, hatanın istismar edilmesi çoğu kişiden daha zordur. Salı günlüğü. “Tehdit aktörünün, hedef ile istenen kaynak (örneğin, ortadaki adam) arasındaki mantıksal ağ yolunda olması gerekir, ancak bu aktif saldırı altında olarak listelendiğinden, birisinin nasıl yapılacağını öğrenmiş olması gerekir. olmuş olan.”
Tripwire’da güvenlik Ar-Ge müdürü Tyler Reguly, Dark Reading’e, hatanın daha önce görülen ve PetitPotam olarak bilinen ve Temmuz ayında ortaya çıkan ve saldırganların uzak Windows sistemlerini kolayca kırılabilir parola karmalarını ortaya çıkarmaya zorlamasına olanak tanıyan bir tehditle ilgili olabileceğini söyledi.
“Microsoft’un sağladığı bağlantılara dayanarak, bu öncekiyle ilgili görünüyor. PetitPotam yaması” diye ekliyor ve araştırmacıların bu konuda tahmin yürüteceklerini ekliyor. “Bu, neler olup bittiğini açıklayan ayrıntılı yönetici özetlerinin geçmişte ne kadar yararlı olduğunun en iyi örneği. Microsoft’un bunları düzenli olarak sağlamaya geri dönmesi harika olurdu” diyor.
Microsoft ayrıca kritik bir hata (CVE-2022-29972CVSS mevcut değil) Insight Software’in Magnitude Simba Amazon Redshift ODBC Sürücüsünde – ZDI’nin Childs’ı olarak “Azure Synapse Pipelines’daki Entegrasyon Çalışma Zamanında (IR) ve Azure Data Factory’de Amazon Redshift’e bağlanmak için kullanılan bir üçüncü taraf ODBC veri bağlayıcısı” açıklar.
“Bu güncelleme Microsoft için yeterince karmaşık. hata hakkında blog yazmak ve birden çok Microsoft hizmetini nasıl etkilediğini.”
Son sıfır gün (CVE-2022-22713CVSS 5.6), Windows Hyper-V’de hizmet reddine (DoS) izin verebilecek önemli olarak derecelendirilmiş bir hatadır.
Önde Gelen Işıklar: Şimdi Düzeltilecek Kritik Microsoft Güvenlik Hataları
Araştırmacılar, yöneticilerin bu ay öncelik vermesi gereken diğer yamalara gelince, kritik olarak derecelendirilen bazı sorunların kurumsal altyapıda geniş kapsamlı olduğu ve milyonlarca şirketi etkileyebileceği konusunda uyarıyorlar.
Automox güvenlik direktörü Chris Hass, Dark Reading’e “Büyük haber, acil eylem için vurgulanması gereken kritik güvenlik açıkları” diyor. “Bu ay, NSF, Uzak Masaüstü İstemcisi ve Active Directory dahil olmak üzere çoğu kurumsal kuruluşta yaygın olan bir dizi uygulamada güvenlik açıkları bulunuyor.”
Örneğin, Windows Ağ Dosya Sistemini veya NFS’yi etkileyen kritik hata (CVE-2022-26937, CVSS 9.8), Microsoft’un tavsiyesine göre, yüksek ayrıcalıklı NFS hizmeti bağlamında kimliği doğrulanmamış uzaktan kod yürütmeye (RCE) izin verebilir. Başlatmak için, her yerde Log4j benzeridir: “2008’den sonraki her Windows Server sürümünde bulunur” diyor Hass, “hızlı bir şekilde harekete geçilmezse çoğu kuruluşu riske atıyor.”
Ayrıca, Immersive Labs siber tehdit araştırması direktörü Kevin Breen, Dark Reading’e, “Bu tür güvenlik açıkları, genellikle bir fidye girişiminin parçası olan kritik verilerin açığa çıkmasına neden olabileceğinden, fidye yazılımı operatörlerine potansiyel olarak hitap edecek” diyor.
Yamaya özellikle kimin öncelik vermesi gerektiği konusunda, “NFS varsayılan olarak açık değildir, ancak Windows sistemlerinin Linux veya Unix gibi diğer işletim sistemleriyle karıştırıldığı ortamlarda yaygındır. Bu, ortamınızı açıklıyorsa, kesinlikle test etmeli ve dağıtmalısınız. Bu yama hızla,” diye uyarıyor Childs.
Dikkate alınması gereken diğer kritik hatalara gelince, Breen bayrakları CVE-2022-22017 (CVSS 8.8), aynı zamanda her yerde bulunan Uzak Masaüstü (RDP) İstemcisindeki bir RCE sorunu.
“Her zamankinden daha fazla uzaktan çalışanla birlikte, özellikle fidye yazılımı aktörleri ve erişim komisyoncuları arasındaki popülaritesi göz önüne alındığında, işletmelerin RDP’yi etkileyen her şeyi radara koyması gerekiyor” diye uyarıyor.
Active Directory hatası (CVE-2022-26923, CVSS 8.8) Etki Alanı Hizmetlerinde bulunur ve sertifikaların verilmesiyle ilgili bir sorun nedeniyle ayrıcalık yükselmesine izin verebilir. Hatayı bildiren ZDI, bir saldırganın yüksek düzeyde ayrıcalığa sahip bir DC’de kimlik doğrulaması yapmak için bir sertifikaya erişebileceğini ve Active Directory Sertifika Hizmetleri çalışıyorsa etki alanı kimliği doğrulanmış herhangi bir kullanıcının etki alanı yöneticisi olmasına izin verebileceğini söylüyor.
Childs, “Bu çok yaygın bir dağıtımdır” diyor. “Bu hatanın ciddiyeti ve açıktan yararlanmanın göreceli kolaylığı göz önüne alındığında, bu tekniği kullanan aktif saldırıları er ya da geç görmek beni şaşırtmaz.”
Daha az endişe verici olan Breen, LDAP’de 10 RCE hatasından oluşan bir grup olduğunu söylüyor (en şiddetli, CVE-2022-22012, CVSS puanı 9.8). Bunlar “özellikle tehdit edici görünüyor; ancak çoğu ortamda var olması muhtemel olmayan varsayılan bir yapılandırma gerektirdiğinden Microsoft tarafından ‘sömürü daha az olası’ olarak işaretlendiler” diye belirtiyor. “Bunları yamalamaya gerek olmadığını söylemek değil, yamalara öncelik verirken bağlamın önemli olduğunu hatırlatmak.”
Geri kalanların en kötüsü
Siber saldırganlar için uzun zamandır çekici bir bakış açısı sunan Windows Yazdırma Biriktiricisi’nden başlayarak, araştırmacıların da dikkatini çeken bir dizi başka güvenlik açığı burada kayda değer.
“Bu ay yamalanan birkaç Windows Yazdırma Biriktiricisi güvenlik açığı vardı, bunlara iki bilgi ifşa kusuru da dahil (CVE-2022-29114, CVE-2022-29140) ve iki ayrıcalık yükseltme kusuru (CVE-2022-29104, CVE-2022-29132),” Tenable’da görevli araştırma mühendisi Satnam Narang, Dark Reading’e şunları söylüyor: “Bütün kusurlar önemli olarak derecelendirildi ve üçünden ikisinin istismar edilmesinin daha muhtemel olduğu düşünülüyor. Windows Yazdırma Biriktiricisi, PrintNightmare yaklaşık bir yıl önce açıklandığından beri saldırganlar için değerli bir hedef olmaya devam ediyor. Conti gibi fidye yazılımı gruplarının onları oyun kitabının bir parçası olarak tercih ettiğini gördüğümüz için, özellikle ayrıcalık yükseltme kusurlarına dikkatle öncelik verilmelidir.”
Breen ayrıca yama öncelikleri olarak diğer iki önemli hatayı vurguladı:
- CVE-2022-29108, Sharepoint’te bir kuruluşta yanlamasına hareket etmek isteyen bir saldırgan tarafından kötüye kullanılabilecek uzaktan yürütülebilir bir kusur. Breen, “İstismar için kimliği doğrulanmış erişim gerektiren, bir tehdit aktörü tarafından gizli bilgileri çalmak veya daha geniş bir saldırı zincirinin parçası olabilecek kötü amaçlı kod veya makrolar içeren belgelere enjekte etmek için kullanılabilir” diye uyarıyor.
- içinde bir hata Azure Veri Fabrikası (CVE atanmamış) uzaktan sömürülebilir ve Breen’e göre bir işletmenin gizli verilerini ifşa edebilir.
Virsec CTO’su ve kurucu ortağı Satya Gupta, genel olarak, Microsoft’un yama eğilimlerinin daha geniş bağlamının savunucular için dikkate alınmasının önemli olduğunu söylüyor. Spesifik olarak, geçen yıl, yamaların üçte birinden fazlası (1.330 veya %36) RCE sorunları içindir.
“Bu, elbette, kötü niyetli aktörlerin neredeyse her müşteriyi tehlikeye atması için büyük bir fırsatı temsil ediyor” diyor. “Toplamda, Mayıs ayındaki güvenlik açıklarından birkaçı, özellikle de milyonlarca sunucuyu yamalamak için ne gerektiğini düşünürseniz, bir Log4j maruz kalma düzeyini temsil ediyor.”