Microsoft nihayet, 2022 için sondan bir önceki aylık güvenlik güncellemesinde – vahşi ortamda aktif istismar altında olan altı sıfır gün hatasından ikisi – herkes tarafından bilinen “ProxyNotShell” ve Web İşareti (MotW) güvenlik açıklarını düzeltti.
Hedeflenen sıfır günler, Kasım ayının Salı Yaması grubu için 11’i kritik olarak derecelendirilen 68 güvenlik düzeltmesinin bir parçası.
Düzeltmeler, Azure, BitLocker, Dynamics, Exchange Server, Office ve Office bileşenleri, Network Policy Server (NPS), SharePoint Server, SysInternals, Visual Studio, Windows ve Windows Components dahil olmak üzere güvenlik devinin ürün yelpazesini etkileyen CVE’lere yöneliktir. ve Microsoft ürünlerini etkileyen Linux çekirdeği ve diğer açık kaynaklı yazılım hataları.
Aktif Olarak Yararlanan Sıfırıncı Gün Güvenlik Açıkları
Aktif saldırı altında olarak listelenen sıfır gün grubu, Microsoft için bu yıl şimdiye kadarki en büyük grup.
Bunlardan ikisi, ilk olarak Eylül ayında açıklanan Exchange Server’ı etkileyen kritik ProxyNotShell kusurlarıdır. Her ikisi de 10 üzerinden 8,8 CVSS güvenlik açığı-önem puanı derecesine sahiptir. CVE-2022-41040 saldırganların güvenliği ihlal edilmiş bir sistemde ayrıcalıkları yükseltmesine olanak tanıyan bir sunucu taraflı istek sahteciliği (SSRF) kusurudur ve CVE-2022-41082 saldırganın PowerShell’e uzaktan erişebildiği bir uzaktan kod yürütme (RCE) kusurudur. Bir Exchange Sunucusunun tam “pwning”i için birlikte zincirlenebilirler.
Automox araştırmacısı Preetham Gurram, “Sonunda Microsoft, Çinli tehdit aktörleri tarafından aktif olarak kullanılan ProxyNotShell güvenlik açıkları için yamalar yayınladı.” Dedi. 8 Kasım analizi. “Ayrıcalık yükselmesi ve uzaktan kod yürütme güvenlik açıkları Eylül ayının sonundan bu yana açığa çıktı ve bunlardan yararlanıldı, bu nedenle geçici azaltmanın uygulanmadığı kurum içi veya karma Exchange Sunucularınız varsa, yamaları 24 saat içinde uygulamanızı öneririz.”
Microsoft ayrıca bilinen ve analiz edilen Web İşareti sorunlarını da ele aldı – bunlar şu şekilde izleniyor: CVE-2022-41091 ve CVE-2022-41049, Windows’un farklı sürümlerinde bulunan iki ayrı güvenlik açığı. Önemli olarak derecelendirilen hataların her ikisi de saldırganların Microsoft’un MotW güvenlik özelliğinin ötesine kötü niyetli ekleri ve dosyaları gizlice sokmasına izin veriyor – Microsoft, yalnızca ilkinin vahşi ortamda istismar edildiğini söylüyor.
Etkin kampanyalarda kullanılan başka bir sıfır gün, Windows Komut Dosyası Dillerini etkileyen kritik bir RCE hatasıdır (CVE-2022-41128, CVSS 8.8). Action1’deki güvenlik açığı ve tehdit araştırması başkan yardımcısı Mike Walters, Dark Reading’e bunun özellikle Microsoft’un Internet Explorer tarayıcısı tarafından kullanılan eski JavaScript lehçesi olan JScript9 komut dosyası dilini etkilediğini söylüyor.
“Yeni sıfırıncı gün güvenlik açığı… düşük karmaşıklık olarak ağ vektörünü kullanır ve kullanmak için herhangi bir ayrıcalık gerektirmez, ancak kurbanı kötü amaçlı bir sunucu paylaşımını veya web sitesini ziyaret etmeye ikna etmek için bir kimlik avı e-postası kullanmak gibi kullanıcı etkileşimi gerektirir.” açıklıyor. “Windows 7 ve Windows Server 2008 R2’den başlayarak tüm Windows işletim sistemi sürümlerini etkiler. … Ancak, kavram kanıtı henüz kamuya açıklanmadı.”
Kalan iki hata, 7,8 CVSS puanları taşıyan önemli dereceli ayrıcalık yükselmesi (EoP) sorunlarıdır. Bunlardan biri, Microsoft’un yeni nesil şifrelemesini, Windows CNG Anahtar Yalıtım Hizmeti’ni etkileyen bir bellek hatasıdır (CVE-2022-41125).
Automox, “Düşük ayrıcalıklar gerekli ve yerel bir saldırı vektörüyle, bu güvenlik açığı herhangi bir kullanıcı etkileşimi gerektirmez. Bunun yerine, bir saldırganın kurbanın cihazında yürütme ayrıcalıkları kazanması ve bu güvenlik açığından yararlanmak için ayrıcalıkları yükseltmek için özel hazırlanmış bir uygulama çalıştırması gerekir.” araştırmacı Gina Geisel, e-postayla gönderilen bir analizde söyledi. Etkilenen uzun bir Windows 10 ve 11 listesiyle (Win 8.0, 7.0, Server 2008, 2012, 2016, 2019, 2022 ve 2022 Azure’a ek olarak), bu güvenlik açığı Windows’un endüstri lideri sürümlerini ortaya çıkarır ve geniş kapsamlı olabilir: değişen etkiler.”
İkincisi, Windows Yazdırma Biriktiricisi’nde bulunur (CVE-2022-41073) ve Action1’den Walters bunu geçen yılki PrintNightmare hatasının bir akrabası olarak tanımlıyor.
“Microsoft, PrintNightmare güvenlik açığının kölelerini düzeltmeye devam ediyor” diyor. “Bu güvenlik açığı, bir saldırganın hedef sunucuda veya masaüstünde sistem haklarını elde edebileceği yerel bir vektöre sahiptir.”
Kasım Ayının Kritik Hataları
Yöneticilerin öncelik vermesi gereken Kasım güncellemesindeki diğer sorunlar arasında Windows Kerberos RC4-HMAC’deki bir güvenlik açığı yer alıyor (CVE-2022-37966). Bir saldırganın bundan yararlanmak için hedef sistemde kod çalıştırma ve erişime sahip olması gerekse bile kritik bir derecelendirme (CVSS 8.1) kazanır.
Automox’tan Gurram, bunun nedeninin Kerberos’un bir kullanıcıyı veya ana bilgisayarın kimliğini doğrulamak için bir kimlik doğrulama protokolü olması olabileceğini belirtti. Bir hizmetin diğer hizmetlere bağlanırken müşterisi adına hareket etmesini sağlayan bir belirteç sağlar; bir kuruluşun etki alanında kullanıldığında, çoklu oturum açmayı (SSO) etkinleştirir.
Gurram, “Windows’ta kullanılan birincil şifreleme türü, sağlama toplamı alanı için kullanılan bir MD5-HMAC algoritması ile RC4 akış şifresine dayanmaktadır.” Dedi. “RC4 şifrelemesi, en az güvenli ve en saldırıya açık şifreleme algoritması olarak kabul edilir. Active Directory etki alanında Kerberos belirteçlerini şifrelemek için kullanılıyorsa, kötüye kullanılabilir ve herhangi bir hizmet hesabının tam kontrolünü ele alabilir.”
ZDI’lar Dustin Childs bir blog yazısında dikkat çekti bu hata ve Kerberos’ta kritik olarak derecelendirilmiş başka bir sorun için şu şekilde izlendi: CVE-2022-37967 (CVSS 7.2), yöneticilerin yalnızca yamayı uygulamanın ötesinde ek işlemler yapması gerekecektir.
“Özellikle, gözden geçirmeniz gerekecek KB5020805 ve KB5021131 yapılan değişiklikleri ve sonraki adımları görmek için,” diye tavsiyede bulundu. “Microsoft, bunun düzeltmelerin aşamalı olarak kullanıma sunulduğuna dikkat çekiyor, bu nedenle Kerberos işlevselliğini daha fazla etkileyecek ek güncellemeler arayın.”
Childs ayrıca, Noktadan Noktaya Tünel Protokolü (PPTP) için tümü 8.1 CVSS puanları taşıyan ve tümü RCE’ye izin veren üç kritik dereceli düzeltmeyi işaretledi (CVE-2022-41039, CVE-2022-41088ve CVE-2022-41044).
Childs, “Eski protokollerde hata arayan (ve bulan) araştırmacıların devam eden bir eğilimi var gibi görünüyor.” Dedi. “PPTP’ye güveniyorsanız, gerçekten daha modern bir şeye yükseltmeyi düşünmelisiniz.”
Kalan kritik hatalar aşağıdaki gibidir:
- CVE-2022-38015: Microsoft’un “Hyper-V konuğunun Hyper-V ana bilgisayarının işlevselliğini etkilemesine izin verebileceğini” söylediği Hyper-V’de (CVSS 6.5) bir hizmet reddi (DoS) hatası.
- CVE-2022-41118: Çakra ve Jscript komut dosyası dillerini etkileyen bir RCE hatası (CVSS 7.5)
- CVE-2022-39327: Bir Azure CLI RCE hatası (CVSS yok) — bir daha önce yayınlanan düzeltme bu sadece şimdi belgeleniyor.
En kısa sürede yama
Bu ayki güncelleme nispeten hafif olsa da, Qualys güvenlik açığı ve tehdit araştırması direktörü Bharat Jogi’ye göre, yöneticiler en kısa sürede yama yapmalı – özellikle de çok sayıda sıfırıncı gün istismarı dolaşırken.
E-postayla gönderilen yorumda, “Tatil sezonuna yaklaşırken, saldırganlar genellikle bu süre zarfında (örneğin, Log4j, SolarWinds, vb.) Kötü aktörlerin, açıklanmış sıfır günlerden ve kuruluşların düzeltmeden bıraktığı güvenlik açıklarından yararlanmaya çalıştığını görmemiz olasıdır” dedi.