Microsoft bugün, Haziran ayı için planlanan güvenlik güncellemesinin bir parçası olarak Microsoft Destek Tanılama Aracı’ndaki (MSDT) yakın zamanda açıklanan ve yaygın olarak kullanılan “Follina” sıfır gün güvenlik açığı için bir yama yayınladı.
Yama, en önemlileri arasında 60 güvenlik güncellemesi Şirketin, ürün portföyündeki güvenlik açıklarını gidermek için bugün toplamda yayınladı. Microsoft, hataların üçünü kritik önemde olarak değerlendirdi: CVE-2022-30136Windows Ağ Dosya Sisteminde (NFS) bir uzaktan kod yürütme güvenlik açığı; CVE-2022-30163, Windows Hyper-V’de bir RCE; ve CVE-2022-30139Windows Hafif Erişim Protokolü’ndeki bir uzaktan kod yürütme hatası.
Microsoft, birçok uzaktan kod yürütme hatası da dahil olmak üzere diğer güvenlik açıklarının çoğunu “önemli” olarak değerlendirdi.
Etkilenen ürünler arasında Windows, Office, Edge, Visual Studio, Windows Defender, SharePoint Server ve Windows Hafif Dizin Erişim Protokolü yer alıyor.
Follina Kusuru için Düzeltme
Güvenlik uzmanları yamayı belirledi Follina güvenlik açığı (CVE-2022-30190) böceğin vahşi doğada ne kadar aktif olarak kullanıldığına bağlı olarak bir öncelik olarak. 30 Mayıs’ta açıklanan MSDT hatası, temel olarak saldırganlara, makrolar devre dışı bırakıldığında bile Office belgeleri aracılığıyla uzaktan kod yürütmek için çok kolay bir yol sunuyor. Microsoft, saldırganların verileri görüntülemesine veya silmesine, program yüklemesine ve güvenliği ihlal edilmiş sistemlerde yeni hesaplar oluşturmasına olanak tanıyan güvenlik açığı konusunda uyardı. Kusurdan yararlanan siber saldırılar, Microsoft’un 30 Mayıs duyurusundan en az bir ay önce rapor edildi ve o zamandan beri, açıklardan yararlanma kodunun halka açık olmasıyla birlikte büyüdü.
Lares Consulting’in kıdemli güvenlik danışmanı Andy Gill, Microsoft’un yeni Follina yamasının kod enjeksiyonunu önlediğini söylüyor. Ancak, açıklardan yararlanma kodunun yine de msdt.exe’yi başlatacağını söylüyor. “Bu nedenle, kod yürütmenin ana riski azaltılırken, yazılım hala başlatılıyor” diyor.
SANS Enstitüsü’nün araştırma dekanı Johannes Ullrich, bu nedenle kuruluşların Microsoft’un önerilen azaltmaları MSDT güncellemesini yükledikten sonra bile kusurun yerinde olması için. “Aylık toplamayı uygulayan kullanıcılar korunacak, ancak yamanın msdt.exe’deki kod yerleştirme güvenlik açığını düzelttiğini anlamaları gerekiyor. Bir kullanıcı etkilenen bir belgeyi açarsa tanılama aracının kendisi çalışmaya devam edecek.
Ullrich, “Follina birkaç haftadır aktif olarak istismar ediliyor” diyor. “[Microsoft’s] geçici çözüm, msdt.exe’nin başlatılmasını engeller [and] herhangi bir soruna yol açmıyorsa muhtemelen yerinde kalmalıdır.”
Şimdi Düzeltilmesi Gereken Üç Kritik Kusur
Trend Micro’nun Zero Day Initiative iletişim yöneticisi Dustin Childs, bir blog yazısında kritik CVE-2022-30136 güvenlik açığını “ürkütücü derecede benzer” Microsoft’un geçen ay yamaladığı bir NFS hatasına (CVE-2022-26937) saldırganların güvenlik açığı bulunan sistemlerde ayrıcalıklı kod yürütmesine olanak tanır. ZDI’ye göre saldırganlar, güvenlik açığı bulunan bir sunucuya özel hazırlanmış RPC çağrıları göndererek kusurdan yararlanabilir. Yamalardaki tek belirgin fark, bu ayki güncellemenin NFS V4.1’deki hatayı düzeltmesi, geçen ayki güncellemenin ise iki eski NFS sürümüyle ilgili olduğunu söyledi.
Childs, “Bunun bir varyant mı yoksa başarısız bir yama mı yoksa tamamen yeni bir sorun mu olduğu net değil. Ne olursa olsun, NFS çalıştıran kuruluşlar bu düzeltmeyi test etmeye ve dağıtmaya öncelik vermelidir.” Dedi.
Ullrich, bunun Microsoft’un NFS’deki kritik bir güvenlik açığını gidermek için bir güncelleme yayınladığı üst üste üçüncü ayı işaret ettiğini söylüyor. “Ancak bileşen varsayılan olarak etkin değil ve şu ana kadar bu güvenlik açıkları için herhangi bir istismar görmüyoruz” diyor.
Güvenlik araştırmacıları, Windows Hyper-V’deki (CVE-2022-30163) uzaktan kod yürütme güvenlik açığının, ASAP’ı uygulamak için başka bir yama olduğunu söyledi. Immersive’de siber tehdit araştırması direktörü Kevin Breen, bunu kolayca sömürmek için bir yöntem keşfedildiği takdirde saldırganlar için yüksek değere sahip olabilecek bir güvenlik açığı olarak tanımladı. Bu kusur, temelde saldırganlara, o sistemdeki tüm çalışan VM makinelerine erişmek için konuk sanal makineden ana bilgisayara geçmenin bir yolunu verir. Bununla birlikte, Breen, e-postayla gönderilen yorumlarda, en azından şu anda kusurdan yararlanmanın karmaşık olduğunu ve saldırganın belirli olmayan bir yarış koşulunu kazanmasını gerektirdiğini söyledi.
Bu arada, üçüncü kritik kusur (CVE-2022-30139), Microsoft’un bu ay düzelttiği yedi LDAP hatasından biridir. Kusurdan yararlanmak zor olsa da, dizin teknolojisinde ortaya çıkan artan sayıdaki güvenlik sorunlarından biridir. Childs, örneğin Mayıs ayında Microsoft’un 10 LDAP hatası için yamalar yayınladığını söyledi. Son aylarda LDAP hatalarının hacminin, LDAP’yi tehdit aktörleri için çekici bir saldırı hedefi haline getirdiğini kaydetti.
Childs ayrıca, Windows İstenen Durum Yapılandırması özelliğindeki bir bilginin açığa çıkması güvenlik açığı olan CVE-2022-30148’den de bahsetti. Kusur önemlidir, çünkü saldırganlar bunu – diğer şeylerin yanı sıra – günlük dosyasından kullanıcı adlarını ve düz metin şifrelerini kurtarmak için kullanabilir. Childs, “DSC, bir kuruluştaki makine yapılandırmalarını korumak için SysAdmins tarafından sıklıkla kullanıldığından, kurtarılabilecek bazı aranan kullanıcı adı/parola kombinasyonları olabilir,” diye yazdı. Hata ayrıca yanal hareketi de kolaylaştırır, bu nedenle DSC kullanan kuruluşun Microsoft’un düzeltmesini uygulaması gerektiğini söyledi.
RCE’lerin Sürprizi
ZDI’nin analizi, Microsoft’un bugün ifşa ettiği güvenlik açıklarının yarısından fazlasının uzaktan kod yürütme sorunları olduğunu gösteriyor. On iki güncelleme, birçoğunun saldırganların bir sisteme zaten erişmesini ve özel hazırlanmış kod çalıştırmasını gerektiren ayrıcalık yükselmesi hatalarını giderir.
Bu arada Breen, kuruluşların ele alması gereken birkaç başka güvenlik açığı belirledi. Bunlar, Microsoft SharePoint Server’daki iki uzaktan yürütme kusurunu içerir (CVE-2022-30157 ve CVE-2022-30158) veri hırsızlığına izin veren, belgeleri kötü niyetli belgelerle değiştiren ve diğer kötü niyetli faaliyetleri yürüten. Haziran ayı toplantısında da önemli CVE-2022-30147, Windows Installer’da Microsoft’un 7,8 önem derecesi atadığı yerel bir ayrıcalık yükseltme kusuru. Breen, tehdit aktörlerinin bunları neredeyse her zaman saldırılarda kullandıkları için bu derecelendirmenin bu tür kusurların mevcut tehlikesine inandığını söyledi.