Microsoft, Eylül Yaması Salı güncellemesinde, vahşi ortamda aktif olarak kullanılan yerel bir ayrıcalık yükseltme (LPE) dahil olmak üzere, bir çift önemli sıfır gün hatasını ele aldı. Önyüklemek için, solucan saldırıları için kullanılabilecek üç ayrı kritik güvenlik açığını açıkladı.
Yamalar, bu hafta Microsoft’un yalnızca 64 sabit güvenlik açığından oluşan bir önbelleğin parçası, bu yıl herhangi bir ay için en az (ve Ağustos’a göre neredeyse %50’lik bir düşüş). Açıklanan hatalar Microsoft Windows ve Windows Bileşenlerini etkiler; Azure ve Azure Arc; .NET, Visual Studio, .NET Framework; Microsoft Edge (Chromium tabanlı); Ofis ve Ofis Bileşenleri; Windows Defender; ve Linux Çekirdeği.
Bir Çift Sıfır Gün Güvenlik Açığı
Aktif olarak yararlanılan güvenlik açığı (CVE-2022-37969, CVSS puanı 7.8) olan , ilk olarak Windows 2003 R2 OS’de tanıtılan ve sonraki tüm sürümlerle birlikte gelen genel amaçlı bir günlük dosyası alt sistemi olan Windows Ortak Günlük Dosyası Sistemi Sürücüsünde bulunur. Hatadan yararlanma, ilk sistem erişimi olan bir saldırganın, ayrıcalıklarını sıfır tıklama temelinde SİSTEM ayrıcalıklarına yükseltmesine olanak tanır.
Siber güvenlik yöneticisi ve Action1’in kurucu ortağı Mike Walters, “Başka hiçbir teknik ayrıntı mevcut değil, ancak güvenlik açığı düşük karmaşıklığa sahip olduğundan ve kullanıcı etkileşimi gerektirmediğinden, yakında hem beyaz şapkaların hem de siyah şapkaların cephaneliğinde bir istismar olacak” dedi. , Dark Reading’e sağlanan bir analizde yazdı. “Yamayı mümkün olan en kısa sürede dağıtmanız önerilir.”
Trend Micro’s Zero Day Initiative’den (ZDI) Dustin Childs, bunun büyük olasılıkla düzenli bir açıklardan yararlanma zinciri paketinde konuşlandırıldığını belirtti.
“Bu nitelikteki hatalar, genellikle birisini bir dosyayı açmaya veya bir bağlantıyı tıklamaya ikna etmek gibi bir tür sosyal mühendislik saldırısına sarılır” diye yazdı. Salı blog gönderisini yamalayın. “Bir kez yaptıklarında, bir sistemi devralmak için ek kod yükseltilmiş ayrıcalıklarla yürütülür.”
Bu herkesin hızlı bir şekilde yama yapabileceği bir şey, diye vurguladı: “Genellikle, bir istismarın ne kadar yaygın olarak kullanılabileceği hakkında çok az bilgi alıyoruz. Ancak Microsoft, bu hatayı bildiren dört farklı kuruma güveniyor, bu yüzden muhtemelen yalnızca hedefli saldırıların ötesinde.”
Diğer sıfır gün hatası (CVE-2022-23960) ARM64 tabanlı Sistemler için Windows 11’de bulunmaktadır. Microsoft daha fazla ayrıntı vermedi ve bir CVSS puanı atanmadı, ancak Qualys’teki güvenlik açığı ve tehdit araştırması direktörü Bharat Jogi, e-postayla gönderilen bir yorumda bağlam sundu ve bunun işlemci tabanlı bir spekülatif yürütme sorunu olduğunu belirtti. Spectre ve Meltdown saldırılarıyla ünlenen sıralama. Başarılı bir istismar, saldırganların hassas bilgilere erişmesini sağlar.
“Bu [is] ARM64 tabanlı sistemleri etkileyen Spectre-BHB olarak bilinen bir güvenlik açığı için bir düzeltme” dedi. “Bu güvenlik açığı, kendisini birçok kez yeniden icat eden ve 2017’deki keşfinden bu yana çeşitli işlemci mimarilerini etkileyen Spectre v2’nin bir çeşididir.”
“Bu güvenlik açıkları sınıfı, genellikle işletim sistemleri, bellenim ve bazı durumlarda uygulamaların yeniden derlenmesi ve sağlamlaştırma için güncellemeler gerektirdiğinden, azaltma girişiminde bulunan kuruluşlar için büyük bir baş ağrısı oluşturuyor.”
Eylül İçin Beş Kritik Hata
Belirtildiği gibi, kritik olarak derecelendirilen üç hata, solucana yatkındır – yani, kullanıcı etkileşimi olmadan makineden makineye bulaşmaları yaymak için kullanılabilir.
Bunlardan en ilgilisi muhtemelen CVE-2022-34718, araştırmacılar, Windows TCP/IP’de bulunabileceğini söyledi. Uzak, kimliği doğrulanmamış bir saldırganın, etkilenen sistemlerde kullanıcı etkileşimi olmadan yükseltilmiş ayrıcalıklarla kod yürütmesine olanak tanır; ve IPsec’in etkinleştirildiği bir Windows düğümüne özel hazırlanmış bir IPv6 paketi gönderilerek kullanılabilir.
Childs, “Bu resmi olarak onu ‘kurtulabilir’ kategoriye sokar ve 9.8’lik bir CVSS derecesi kazanır.” Dedi. “Bu güncellemeyi kesinlikle hızlı bir şekilde test edin ve dağıtın.”
Yalnızca IPv6’nın etkin olduğu ve IPsec’in yapılandırıldığı sistemleri etkilediğine dikkat edilmelidir, ancak bu yaygın bir kurulumdur.
Action1’den Walters, “Bir sistemin IPsec hizmetine ihtiyacı yoksa, mümkün olan en kısa sürede devre dışı bırakın” dedi. “Bu güvenlik açığı, yüklenici ve müşteri ağlarının bir IPsec tüneli ile birbirine bağlandığı tedarik zinciri saldırılarında kullanılabilir. Windows altyapınızda IPsec tünelleri varsa, bu güncelleme olmazsa olmazlardandır.”
Diğer iki wormable bug, CVE-2022-34722
ve CVE-2022-34721, her ikisi de Windows Internet Anahtar Değişimi (IKE) Protokol Uzantılarında bulunur. Her ikisi de Windows çalıştıran ve IPsec’in etkin olduğu bir hedef makineye özel hazırlanmış bir IP paketi göndererek RCE’ye izin verir ve her ikisi de 9.8 CVSS puanı taşır.
Walters, güvenlik açığının yalnızca IKEv1’i etkilediğini ve IKEv2’yi etkilemediğini belirtti. “Ancak, hem V1 hem de V2 paketlerini kabul ettikleri için tüm Windows Sunucuları etkilenir” diye yazdı. “Vahşi doğada henüz tespit edilen herhangi bir istismar veya PoC yok; ancak düzeltmenin yüklenmesi şiddetle tavsiye edilir.”
Son iki kritik hata (CVE-2022-34700
ve CVE-2022-35805) her ikisi de Dynamics 365’te (On-Premises) bulunur ve “kimliği doğrulanmış bir kullanıcının Dynamics 356 veritabanlarında db_owner olarak SQL enjeksiyon saldırıları gerçekleştirmesine ve komutları yürütmesine izin verebilir” diye açıkladı Childs. CVSS puanı 8.8’dir.
Note’un Diğer Güvenlik Açıkları
Bu ay ilk olarak dikkat edilmesi gereken kritik olmayan kusurlara gelince, Childs ayrıca Windows DNS sunucusunda bir hizmet reddi hatasını da işaretledi (CVE-2022-34724CVSS puanı 7.5), uzak, kimliği doğrulanmamış saldırgan tarafından bulut kaynaklarına ve web sitelerine bağlanmak için kullanılan DNS hizmetini devre dışı bırakmak için kullanılabilir.
Kod yürütme şansı olmasa da, hata kritik olarak ele alınmalıdır, diye ekledi. Childs, “Bulutta bu kadar çok kaynak varken, bu kaynaklara giden yolu gösteren bir DNS kaybı, birçok işletme için felaket olabilir,” dedi.
Rapid7’nin bu ay e-postayla gönderilen Yama Salı analizi, SharePoint yöneticilerinin tümü önemli olarak derecelendirilen dört ayrı RCE hatasının da farkında olması gerektiğini kaydetti (CVE-2022-35823, CVE-2022-37961, CVE-2022-38008ve CVE-2022-38009).
SQL Server için OLE DB Sağlayıcısını ve Microsoft ODBC Sürücüsünü (CVE-2022-34731; CVE-2022-34733, CVE-2022-35834, CVE-2022-35835, CVE-2022-35836ve CVE-2022-35840).
Rapid7 ürün müdürü Greg Wiseman, “Bunlar, bir kullanıcıyı kötü niyetli bir SQL Server’a bağlanmaya veya kötü niyetli bir şekilde hazırlanmış bir .mdb (Erişim) dosyasını açmaya ikna ederek, bazı sosyal mühendislikten yararlanmayı gerektirir,” diye açıkladı analizde.
Genel olarak, yöneticilerin bu ay daha hafif yama yükünü ayrıştırmak için daha kolay bir zamanları olmalı, ancak ZDI’den Childs, daha küçük koleksiyonun önceki Eylül sürümlerinden gelen yamaların hacmiyle uyumlu olduğunu kaydetti. Qualys’den Jogi ayrıca, Eylül ayının Salı Yaması daha hafif taraftayken, Microsoft’un yılın 1.000’inci CVE’sini düzeltmek için bir dönüm noktasına ulaştığına dikkat çekti; Toplam.”