Microsoft, ürünlerinde 48 yeni güvenlik açığı için düzeltmeler yayımladı; bunlardan biri saldırganların aktif olarak istismar ettiği, diğeri ise kamuya duyurulan ancak şu anda aktif olarak istismar edilmeyen bir güvenlik açığı.
Şirketin yıl boyunca yaptığı son aylık güvenlik güncellemesinde yamaladığı altı güvenlik açığı kritik olarak listeleniyor. 43 güvenlik açığına önemli bir önem derecesi atadı ve üç kusura orta şiddette bir değerlendirme verdi.
Microsoft’un güncellemesi geçen ay ele aldığı bant dışı CVE’ler için yamalar ve Microsoft’un Edge tarayıcısının temel aldığı Google’ın Chromium tarayıcı teknolojisindeki 23 güvenlik açığını içerir.
Aktif Olarak Yararlanan Güvenlik Hatası
Saldırganların aktif olarak istismar ettiği kusur (CVE-2022-44698), Microsoft’un bugün yamalar yayınladığı hatalar arasında daha kritik olanlardan biri değil. Kusur, saldırganlara, kullanıcıları İnternetten indirilen kötü amaçlı dosyalara karşı korumak için Windows SmartScreen güvenlik özelliğini atlamanın bir yolunu sunuyor.
Microsoft, “Bir saldırgan, Mark of the Web (MOTW) savunmalarından kaçabilecek kötü amaçlı bir dosya oluşturabilir, bu da MOTW etiketlemesine dayanan Microsoft Office’teki Korumalı Görünüm gibi güvenlik özelliklerinin bütünlüğünün ve kullanılabilirliğinin sınırlı bir şekilde kaybolmasına neden olabilir” dedi.
Immersive Labs siber tehdit araştırma direktörü Kevin Breen, CVE-2022-44698’in kuruluşlar için nispeten küçük bir risk oluşturduğunu söylüyor. Breen, “Yürütülebilir bir dosya veya bir belge veya komut dosyası gibi diğer kötü amaçlı kodlarla ortaklaşa kullanılmalıdır” diyor. “Bu durumlarda, bu CVE, Microsoft’un yerleşik itibar tarama ve algılama özelliklerinden bazılarını, yani normalde bir kullanıcıya dosyanın güvenli olmayabileceğini söylemek için açılan SmartScreen’i atlıyor.”
Breen, aynı zamanda kullanıcıların tehdidi hafife almaması ve sorunu hızla düzeltmesi gerektiğini öneriyor.
Microsoft, başka bir kusuru (DirectX Graphics çekirdeğinde bir ayrıcalık yükselmesi sorunu) genel olarak bilinen, ancak aktif istismar altında olmayan bir sıfır gün olarak tanımladı. Şirket güvenlik açığını değerlendirdi (CVE-2022-44710) önem derecesinde “Önemli” ve istismar edilmesi durumunda bir saldırganın sistem düzeyinde ayrıcalıklar kazanmasına izin verecek bir özellik. Ancak şirket, kusuru, saldırganların yararlanma olasılığının düşük olduğu bir kusur olarak nitelendirdi.
Güvenlik Açıkları Hemen Düzeltilecek
Trend Micro’nun ZDI’sı, Aralık Yaması Salı güvenlik güncellemesindeki diğer üç güvenlik açığını önemli olarak işaretledi: CVE-2022-44713, CVE-2022-41076ve CVE-2022-44699.
CVE-2022-44713 Mac için Microsoft Outlook’ta bir kimlik sahtekarlığı güvenlik açığıdır. Güvenlik açığı, bir saldırganın güvenilir bir kullanıcı olarak görünmesine ve kurbanın bir e-posta iletisini meşru bir kullanıcıdan geliyormuş gibi yanlış anlamasına olanak tanır.
ZDI’nin tehdit farkındalığı başkanı Dustin Childs, “Sahtekarlık hatalarını sık sık vurgulamıyoruz, ancak bir e-posta istemcisinde bir kimlik sahtekarlığı hatasıyla uğraştığınızda, dikkat etmelisiniz.” bir blog gönderisinde söyledi. Güvenlik açığının, saldırganların aktif olarak istismar ettiği yukarıda belirtilen SmartScreen MoTW baypas kusuruyla birleştiğinde özellikle sorun yaratabileceğini söyledi.
Microsoft, CVE-2022-41076’nın, kimliği doğrulanmış bir saldırganın PowerShell Uzak Oturum Yapılandırmasından kaçmasına ve etkilenen bir sistemde rasgele komutlar çalıştırmasına olanak tanıyan bir PowerShell uzaktan kod yürütme (RCE) güvenlik açığı olduğunu söyledi.
Şirket, güvenlik açığını, saldırı karmaşıklığının kendisi yüksek olsa da, saldırganların ödün verme olasılığının daha yüksek olduğu bir şey olarak değerlendirdi. Childs’a göre kuruluşlar bu güvenlik açığına dikkat etmelidir çünkü bu, saldırganların bir ağa ilk erişimi elde ettikten sonra “karadan yaşamak” istediklerinde sıklıkla yararlandıkları türden bir güvenlik açığıdır.
Childs, “Bu yamayı kesinlikle göz ardı etmeyin,” diye yazdı.
Ve son olarak, CVE-2022-44699 başka bir güvenlik atlama güvenlik açığıdır — bu kez Azure Ağ İzleyici Aracısında — kötüye kullanılması durumunda, bir kuruluşun olay müdahalesi için gereken günlükleri yakalama yeteneğini etkileyebilir.
“Bu araca güvenen çok fazla işletme olmayabilir, ancak bunu kullananlar için [Azure Network Watcher] Childs, sanal makine uzantısına göre, bu düzeltmenin kritik olarak değerlendirilmesi ve hızlı bir şekilde dağıtılması gerektiğini söyledi.
Cisco Talos ile Araştırmacılar üç güvenlik açığı daha belirledi kritik ve kuruluşların acilen ele alması gereken sorunlar. Bunlardan biri, Microsoft Dynamics NAV’ı ve Microsoft Dynamics 365 Business Central’ın şirket içi sürümlerini etkileyen bir RCE güvenlik açığı olan CVE-2022-41127’dir. Talos araştırmacıları bir blog yazısında, başarılı bir istismarın bir saldırganın Microsoft’un Dynamics NAV ERP uygulamasını çalıştıran sunucularda rasgele kod yürütmesine izin verebileceğini söyledi.
Satıcının yüksek öneme sahip olduğunu düşündüğü diğer iki güvenlik açığı şunlardır: CVE-2022-44670 ve CVE-2022-44676her ikisi de Windows Güvenli Yuva Tünel Protokolü’ndeki (SSTP) RCE kusurlarıdır.
Microsoft’un danışma belgesine göre “Bu güvenlik açıklarından başarıyla yararlanılması, bir saldırganın bir yarış koşulunu kazanmasını gerektirir, ancak bir saldırganın RAS sunucularında uzaktan kod yürütmesine olanak sağlayabilir.”
Güvenlik açıkları arasında SANS İnternet Fırtına Merkezi önemli olarak tanımlanan (CVE-2022-41089), .NET Framework’te bir RCE ve (CVE-2022-44690) Microsoft SharePoint Server’da.
İçinde Blog yazısıAction1 Corp.’ta güvenlik açığı ve tehdit araştırmasından sorumlu başkan yardımcısı Mike Walters da Windows Yazdırma Biriktiricisi ayrıcalık yükselmesi güvenlik açığına işaret etti (CVE-2022-44678), olarak başka bir konu izlemek.
Walters, “Yeni çözülen CVE-2022-44678’den büyük olasılıkla yararlanılacak, bu muhtemelen doğrudur çünkü Microsoft geçen ay Yazdırma Biriktiricisi ile ilgili başka bir sıfır gün güvenlik açığını düzeltti,” dedi. “CVE-2022-44678’den gelen risk aynıdır: Bir saldırgan, başarılı bir istismardan sonra SİSTEM ayrıcalıklarına sahip olabilir. — ama sadece yerel olarak.”
Kafa Karıştıran Hata Sayısı
İlginç bir şekilde, birkaç satıcı, Microsoft’un bu ay yama yaptığı güvenlik açıklarının sayısı konusunda farklı yaklaşımlara sahipti. Örneğin ZDI, Microsoft’un 52 güvenlik açığını yamaladığını değerlendirdi; Talos, sayıyı 48’e, SANS’ı 74’e sabitledi ve Action1, başlangıçta 52’ye düşürmeden önce Microsoft’un 74 yamasına sahipti.
SANS Teknoloji Enstitüsü araştırma dekanı Johannes Ullrich, sorunun güvenlik açıklarını saymanın farklı yollarıyla ilgili olduğunu söylüyor. Örneğin, bazıları Chromium güvenlik açıklarını sayarken diğerleri içermez.
SANS gibi diğerleri, bazen güvenlik açıkları olarak Microsoft güncellemelerine eşlik eden güvenlik tavsiyelerini de içerir. Microsoft ayrıca bazen ay boyunca yamalar yayınlar ve bunları aşağıdaki Salı Yaması güncellemesinde de içerir ve bazı araştırmacılar bunları saymaz.
Breen, “Salı Yaması döngüsü teknik olarak Kasım’dan Aralık’a kadar olduğundan, yama sayısı bazen kafa karıştırıcı olabilir, bu nedenle bu, ayın başlarında banttan yayınlanan yamaları da içerecek ve ayrıca üçüncü taraf satıcıların güncellemelerini de içerebilir” diyor. . “Bunların en dikkate değer olanı, Microsoft’un Edge tarayıcısının temeli olan Chromium’dan Google’dan gelen yamalardır.”
Breen, Kasım ayında Salı günü yapılan son Yama’dan bu yana yamalanmış 74 güvenlik açığı olduğunu söylüyor. Buna Microsoft’tan 51 ve Edge tarayıcısı için Google’dan 23 dahildir.
“Hem bant dışı hem de Google Chromium’u hariç tutarsak [patches]bugün güvenlik açıkları için 49 yama yayınlandı” diyor.
Bir Microsoft sözcüsü, şirketin bugün yamalar yayınladığı yeni CVE sayısının 48 olduğunu söyledi.