Microsoft’un 2023’e yönelik ilk güvenlik güncelleştirmesi, biri saldırganların aktif olarak yararlandığı, diğeri ise herkes tarafından bilinen ancak henüz yararlanılmayanlar da dahil olmak üzere çok büyük 98 güvenlik açığı için yamalar içeriyordu.
Microsoft, bugün ifşa ettiği güvenlik açıklarından 11’inin “kritik” önem derecesinde olduğunu belirledi; bu, etkilenen ürünleri kullanan kuruluşların diğerlerini ele almadan önce bu kusurlara öncelik vermesi gerektiği anlamına geliyor. Kalan 87 tanesini “Önemli” olarak derecelendirdi. .
Sık Saldırıya Uğrayan Ürünlerdeki Hatalar
Güvenlik açıklarının birçoğu Ocak 2023 güvenlik güncellemesi favori saldırgan hedefleri olan ürünleri etkiler. Örneğin, bunlardan beşi Microsoft Exchange Server’ı etkiliyor ve bu ayki güncellemedeki en ciddi kusurlardan biri de dahil olmak üzere üç tanesi SharePoint’te.
Microsoft’un bugün kapattığı hatalardan 25’ini bildiren Trend Micro’nun Zero Day Initiative (ZDI) iletişim yöneticisi Dustin Childs, “Özellikle Exchange yamaları ve SharePoint güncellemeleri göz önüne alındığında, hacim kesinlikle endişe verici” diyor. “Bunlar yaygın hedeflerdir ve genellikle yamalanmayan hedeflerdir” diye belirtiyor. “Ulusal Güvenlik Teşkilatı ve Kanada İletişim Güvenliği Kuruluşu tarafından gönderilen güncellemeler de var. Bu, bir veya iki kişinin kaşlarını kaldırabilir.”
Birden çok güvenlik araştırmacısı, bir Microsoft SharePoint Server güvenlik özelliğini atlama güvenlik açığı belirledi CVE-2023-21743 sunduğu risk nedeniyle kuruluşların hemen atlaması gereken bir şey olarak. Hata, kimliği doğrulanmamış bir saldırganın kimlik doğrulamasını atlamasına ve etkilenen bir SharePoint sunucusuna anonim bir bağlantı kurmasına olanak tanır. Kurumsal güvenlik ekipleri için güvenlik açığını karmaşıklaştıran bir faktör, tek başına düzeltme ekinin sunduğu tehdidi azaltmak için yeterli olmamasıdır. Ek olarak, Microsoft’un açıklardan yararlanma etkinliğine karşı koruma sağlamak için bu ayki güvenlik güncelleştirmesine dahil ettiği bir SharePoint yükseltmesini de tetiklemeleri gerekiyor.
Childs, “Bu, ‘yama ve devam et’ türünden bir hata değil,” diyor. “Bu güvenlik açığını tam olarak gidermek için yöneticilerin güncelleme belgelerinde belirtildiği gibi ek adımlar atması gerekiyor.”
Windows ALPC’de Sıfır Gün Hatası
Ocak 2023 güncellemesindeki bir diğer yüksek öncelikli güvenlik açığı, CVE-2023-21674, Windows Gelişmiş Yerel Yordam Çağrısı’nda (ALPC) aktif olarak kullanılan ve bir saldırganın güvenliği ihlal edilmiş bir sistemdeki ayrıcalıkları yükseltmesine olanak tanıyan bir hata. Microsoft, sıfır gün güvenlik açığının tüm Windows işletim sistemi sürümlerini etkilediğini ve bir saldırganın tarayıcı sanal alanından kaçmasına ve sistem düzeyinde ayrıcalıklar kazanmasına izin verebileceğini söyledi.
Tenable’da kıdemli personel araştırma mühendisi olan Satnam Narang, hatanın tüm ayrıntıları mevcut olmasa da, saldırganların güvenlik açığını Chromium tabanlı bir tarayıcıdaki veya Microsoft Edge’deki bir kusurla bir tarayıcı sanal alanından çıkmak için zincirlemiş olmalarının mümkün olduğunu söylüyor. tam sistem erişimi kazanın.
Narang, Dark Reading’e “Tarayıcı güvenliğinde yapılan iyileştirmeler nedeniyle, geleneksel tarayıcı istismarları kendi başlarına korumalı alan teknolojisiyle sınırlandırılıyor ve bir saldırganın temeldeki işletim sistemine erişme yeteneğini kısıtlıyor” dedi. Gelişmiş bir kalıcı tehdit grubunun, hedefli bir saldırının parçası olarak güvenlik açığını keşfedip istismar etmiş olabileceğini söylüyor.
Microsoft, bu ay ele aldığı hatalardan birini herkesin bildiği ancak kötüye kullanılmadığı şeklinde tanımladı. Şu şekilde izlenen güvenlik açığı: CVE-2023-21549, Windows SMB Tanık Hizmeti’nde bulunur ve bir saldırganın normalde yalnızca ayrıcalıklı hesaplarla sınırlı olan uzaktan yordam çağrısı işlevlerini yürütmesine izin verir. Microsoft, açıktan yararlanma olasılığının daha düşük olduğunu değerlendirmesine rağmen güvenlik açığına 8,8 puan verdi.
Bir Ayrıcalık Seli-Yükseltme Kusurları
ZDI’nin bildirdiği ve Microsoft’un bu ay yama uyguladığı 25 hatadan ikisi, önceki bir ayrıcalık yükseltmesi için başarısız bir yamadan kaynaklanan Exchange Server ayrıcalık yükselmesi güvenlik açıklarıydı (CVE-2023-21763 ve CVE-2023-21764). CVE-2022-41123 olarak izlenen Exchange’deki kusur. Childs, “Sabit kodlanmış bir yolun kullanılması sayesinde, yerel bir saldırgan kendi DLL’sini yükleyebilir ve SİSTEM düzeyinde kod çalıştırabilir” diyor.
Toplamda, Microsoft’un en son güncellemesinde ele aldığı hataların 39’u, şirketin genellikle RCE hatalarından daha az ciddi olarak derecelendirdiği bir kusur kategorisi olan ayrıcalıkların yükseltilmesini sağlar. Ancak bu, kuruluşların bunları ele almayı erteleyebilecekleri anlamına gelmez. Siber tehdit araştırma direktörü Kev Breen, “Düşük puanlarına rağmen, bu güvenlik açıkları genellikle bir saldırının ilk aşamalarında görülüyor ve saldırganların öldürme zincirinin başlarında SİSTEM veya etki alanı düzeyinde erişim elde etmesinin engellenmesi saldırganları yavaşlatabilir” dedi. Immersive Labs’ta bir açıklamada.
Ocak güncellemesindeki bazı ayrıcalık yükseltme hataları Windows Çekirdeğini etkiler. Aralarında CVE-2023-21772, CVE-2023-21750, CVE-2023-21675 ve CVE-2023-21773. Güvenlik satıcısı, “Bu güvenlik açıklarından kaynaklanan potansiyel risk yüksektir, çünkü Windows 7’den başlayarak herhangi bir Windows işletim sistemi çalıştıran tüm cihazları etkilerler.” Eylem1 dedi. Action1, ayrıcalık yükseltme hatalarından yedisinin düşük karmaşıklığa sahip olduğunu ve düşük ayrıcalıklar gerektirdiğini ve kullanıcı etkileşimi gerektirmediğini, yani bunlara saldırmanın kolay olduğunu söyledi.
Güvenlik araştırmacılarının Microsoft’un Ocak 2023 güvenlik güncelleştirmesinde yüksek öncelikli olarak tanımladığı diğer hatalar arasında şunlar yer alır: CVE-2023-21762 ve CVE-2023-21745, her ikisi de Microsoft Exchange Server’da bilgi sızdırma güvenlik açıklarıdır. Breen, “Exchange gibi e-posta sunucuları, bir saldırganın e-postaları okuyarak hassas bilgiler elde etmesine veya İş E-postası Ele Geçirme tarzı saldırıları kolaylaştırmasına olanak tanıdığından, saldırganlar için yüksek değerli hedeflerdir” dedi. Kuruluşların, bu tür hataların önceden belirlediği risklerin farkında olması ve bunları hafifletmesi gerektiğini de sözlerine ekledi.
Microsoft ayrıca önceki kılavuzunu güncelledi son kullanımı etrafında Kötü amaçlı kampanyalarda Microsoft imzalı sürücüler siber suçlular. Kılavuz artık, saldırganların güvenliği ihlal edilmiş sertifikayı ortamlarında kullanmalarını engelleyen bir engelleme listesi içermektedir. Şirket, tavsiye ettikleri eylemler için, “Microsoft, tüm müşterilerin en son Windows güncellemelerini yüklemelerini ve anti-virüs ve uç nokta algılama ürünlerinin en son imzalarla güncel olduğundan ve bu saldırıları önleyecek şekilde etkinleştirildiğinden emin olmalarını öneriyor” dedi.