Microsoft bugün, aktif olarak yararlanılan bir hata ve şirketin kritik önem derecesi olarak derecelendirdiği dördü de dahil olmak üzere, ürün kategorilerinde 84 güvenlik açığı için yamalar yayınladı.

Temmuz güvenlik güncelleştirmesi ayrıca şirketin sürekli sorunlu Windows Yazdırma Biriktiricisi teknolojisindeki dört ayrıcalık yükselmesi güvenlik açığı ve Azure Site Recovery olağanüstü durum kurtarma hizmetinde 30’dan fazla hata için düzeltmeler içerir. Bugün açıklanan 84 kusurun en az 12’si uzaktan kod yürütülmesini, 11’inin bilgi ifşasıyla ilgili ve dördü güvenlik özelliklerinin atlanmasını sağlıyor. Kalan kusurların çoğu, ayrıcalık yükselmesini sağladı.

Birinci Öncelik: CVE-2022-22047

İnceleme yapan güvenlik uzmanları Microsoft’un son güncellemesi derhal ilgilenilmesi gereken güvenlik açığının bir ayrıcalık yükselmesi güvenlik açığı olduğunu söyledi (CVE-2022-22047) şu anda yararlanılmakta olan Windows İstemci Sunucusu Çalışma Zamanı Alt Sisteminde (CSRSS). Microsoft, güvenlik açığını “Önemli” olarak değerlendirdi ve 10 üzerinden 7,8 önem derecesi verdi. Şirkete göre, güvenlik açığı – Temmuz güncellemesindeki diğer tüm hatalar gibi – kamuya açıklanmadı. Buna rağmen Microsoft, hatayı aktif olarak istismar edildiğini açıkladı, ancak daha fazla bilgi sağlamadı.

Trend Micro Zero Day Initiative’in blogunda yapılan bir analizde, “Açıklık, bir saldırganın, hedefte başka kod çalıştırabilmeleri koşuluyla, SYSTEM olarak kod yürütmesine izin veriyor” dedi. “Bu tür hatalar genellikle bir sistemi ele geçirmek için genellikle özel olarak hazırlanmış bir Office veya Adobe belgesi olan bir kod yürütme hatasıyla eşleştirilir.” Blog, bu tür saldırıların genellikle makrolardan yararlandığını ve bu nedenle Microsoft’un Şubat ayında duyurduğu gibi tüm makroları varsayılan olarak engellemeyi erteleme kararının cesaret kırıcı olduğunu belirtti.

Ivanti’de güvenlik ürünleri ürün yönetiminden sorumlu başkan yardımcısı Chris Goettl, kuruluşların Microsoft’un kusuru önemli olarak nitelendirmesiyle sakinleşmemesi gerektiğini söylüyor. Saldırganların hatayı aktif olarak kullanması gerçeği, onu bir öncelik haline getiriyor, diyor. “Eski derecelendirme yöntemlerini kullanmaya öncelik veren kuruluşlar, bu ay işletim sistemi güncellemesinin aciliyetine öncelik vermeyi gözden kaçırabilir” diyor.

Acil Dikkat Edilmesi Gereken Diğer Hatalar

Microsoft’un Temmuz güncellemesinde güvenlik uzmanlarının öncelik olarak tanımladığı diğer hatalar: CVE-2022-30216, CVE-2022-22038, CVE-2022-30221 ve CVE-2022-30222.

CVE-2022-30216 Windows Server Hizmetinde, kimliği doğrulanmış bir saldırganın Sunucu hizmetine uzaktan bir sertifika yüklemesine olanak tanıyan, karmaşıklığı düşük bir kurcalama güvenlik açığıdır. Microsoft, güvenlik açığını, kullanıcı etkileşimi ve düşük düzey ayrıcalıklar gerektirmediği için istismar edilmesi daha olası bir güvenlik açığı olarak nitelendirdi. Trend Micro’dan ZDI, “Bu, ‘Kurcalama’ bölümünde listelenmiş olsa da, hedef sisteme kendi sertifikasını yükleyebilen bir saldırgan, bu hatayı kod yürütme de dahil olmak üzere çeşitli amaçlar için kullanabilir.” Dedi. “Bu yamayı kesinlikle test edin ve özellikle kritik sunucularınıza hızlı bir şekilde dağıtın.”

CVE-2022-22038 kimliği doğrulanmamış bir saldırının güvenlik açığı bulunan bir sistemde kötü amaçlı kod yürütmesine olanak verebilecek bir Uzaktan Yordam Çağrısı Çalışma Zamanı uzaktan kod yürütme güvenlik açığıdır. Microsoft, bir saldırganın “sabit veya aralıklı veriler göndererek tekrarlanan istismar girişimlerine zaman ayırmasını” gerektirdiğinden, bu hatayı istismar etmek için karmaşık olarak tanımladı. Trend Micro’nun ZDI’si, hatayı, onu potansiyel olarak solucan haline getirebilecek özelliklere sahip olarak değerlendirdi. Güvenlik sağlayıcısı, “İstismar karmaşıklığı düşük olsaydı, bazılarının iddia ettiği gibi, denemelerin komut dosyası yazılabileceğinden, CVSS 9.8 olurdu. Bunu hızlı bir şekilde test edin ve dağıtın,” dedi güvenlik satıcısı.

CVE-2022-30221 Windows Grafik Bileşeni’ndeki bir uzaktan kod yürütme güvenlik açığıdır. Saldırgan, kullanıcıyı kötü amaçlı bir RDP sunucusuna bağlanmaya ikna ederek bu güvenlik açığından yararlanabilir. Microsoft, bunu başaran bir düşmanın, etkilenen sistemin kullanıcısı bağlamında kod yürütebileceğini söyledi.

Immersive Labs siber tehdit araştırması direktörü Kevin Breen, Dark Reading’e e-postayla gönderilen yorumlarda, “Yüzeyde, bu kötü görünüyor” dedi. Saldırganın önce kötü amaçlı bir RDP sunucusu çalıştırması ve ardından kurbanı buna bağlanmaya ikna etmesi gerekeceğinden, Microsoft bu güvenlik açığından yararlanma olasılığının düşük olduğunu belirtti. Breen, “RDP kısayol dosyaları hedef kurbanlara e-postayla gönderilebileceğinden ve bu dosya türleri e-posta tarayıcıları ve filtreleri tarafından kötü amaçlı olarak işaretlenmeyebileceğinden, bu ilk göründüğü kadar uzak bir şey değil” dedi.

CVE-2022-30222 başka bir uzaktan kod yürütme güvenlik açığıdır – bu sefer Windows Kabuğu grafik kullanıcı arabiriminde. Microsoft, kusurun, kimliği doğrulanmamış bir saldırganın, giriş ekranıyla belirli bir şekilde etkileşime girerek savunmasız bir sistemde kod yürütmesine izin verdiğini belirtti. Kusuru hedefleyen saldırılar muhtemelen çok az karmaşıklık içerir ve kullanıcı etkileşimi içermez.

Breen, “Bu, Uzaktan Kod Yürütme güvenlik açığı olarak adlandırılsa da, açıklama bunun aslında bir Yerel Kod Yürütme güvenlik açığı olduğunu gösteriyor” dedi. Kusurun, bir saldırganın kimlik doğrulama gerekmediğinden giriş sayfasından rastgele komut çalıştırmasına izin verecek gibi göründüğünü kaydetti. Breen, “Microsoft, bunun istismar edilme olasılığının daha düşük olduğunu öne sürdü. Ancak RDP kullanıyorsanız, kesinlikle bu yamaya öncelik verin,” dedi.

Windows Yazdırma Biriktiricisi Kusurları Geri Dönüyor

Microsoft’un Temmuz güncellemesi ayrıca Windows Yazdırma Biriktiricisi’ndeki (CVE-2022-22022, CVE-2022-22041, CVE-2022-30206ve CVE-2022-30226). Yazdırma Biriktiricisindeki Kusurlar, son yıllarda Windows kullanıcıları için büyük bir sorun olmuştur. Teknolojideki son zamanlardaki en dikkat çekici kusurlardan biri, tüm Windows sürümlerini etkileyen ve ABD hükümetinden ve diğerlerinden kuruluşların acilen bu sorunu çözmesi gerektiği konusunda bir tavsiye isteyen bir uzaktan kod yürütme hatası olan PrintNightmare idi.

Kıdemli Satnam Narang, “Orijinal PrintNightmare kusurlarının Haziran ayında (CVE-2021-1675) ve 2021 yılının Temmuz ayının başlarında (CVE-2021-34527) açıklanmasından bu yana Yazdırma Biriktiricisi Hizmetinde sürekli bir güvenlik açığı açıklamaları akışı gördük” dedi. Tenable’daki personel araştırma mühendisi, Dark Reading’e e-postayla gönderilen yorumlarda. Microsoft’un teknolojide ele aldığı kusurlar, saldırganlara savunmasız sistemler üzerinde sistem düzeyinde ayrıcalıklar elde etme yeteneği sağlayan ayrıcalıkların yükseltilmesi kusurları olduğunu söyledi.

Ivanti’den Goettl, bu dört düzeltmenin riskinin baskı işlevselliğini etkileme potansiyeli olduğunu söylüyor.

“PrintNightmare’den bu yana birçok Yazdırma Biriktiricisi düzeltmesi yapıldı ve bu yama Salı olaylarının birden fazlasında, değişiklikler operasyonel etkilerle sonuçlandı” diyor. “Bu, yöneticileri biraz çekingen yapıyor ve kuruluşlarında olumsuz sorunların oluşmamasını sağlamak için bazı ekstra testleri garanti ediyor.”

Azure Site Recovery Hatalarının Sürprizi

Goettl, Microsoft’un Azure Site Recovery’de saldırganların uzaktan kod yürütme, ayrıcalık yükseltme ve bilgi çalma gibi çeşitli eylemler gerçekleştirmesine olanak tanıyan 33 güvenlik açığını çözdüğünü söylüyor. Goettl, güvenlik açıklarının hiçbirinin kamuya açıklanmadığını veya şu anda istismar edilmediğini, ancak endişenin giderilen güvenlik açıklarının sayısında olduğunu belirtiyor. “Birkaç bağımsız araştırmacı ve anonim taraf tarafından tespit edildiler, bu da bu güvenlik açıklarından nasıl yararlanılacağı bilgisinin biraz daha geniş bir alana dağıldığı anlamına geliyor” diyor.

Ve bu kusurların çözümü basit değildir: Her işlem sunucusunda yönetici olarak oturum açmayı, ardından en son sürümü indirip yüklemeyi gerektirir. “Bunun gibi güvenlik açıkları, tipik yama yönetimi süreci tarafından yönetilmedikleri için genellikle izini kaybetmek kolaydır” diye belirtiyor.



siber-1