Microsoft, saldırganların şu anda vahşi ortamda aktif olarak istismar ettiği üç sıfır gün hatası için düzeltmeler yayınladı.
Bunlardan biri, şu şekilde izlenir: CVE-2023-21715, Microsoft Office’te bulunan ve saldırganlara güvenilmeyen dosyaları ve içeriği engellemek için Office makro ilkelerini atlama yolu sağlayan bir güvenlik özelliği baypas güvenlik açığıdır. İkincisi, Windows Ortak Günlük Dosya Sistemi Sürücüsünde (CVE-2023-23376), bu da bir saldırganın sistem düzeyinde ayrıcalıklar kazanmasına olanak tanır. üçüncüsü CVE-2023-21823Windows Grafik Bileşeninde bulunan ve bir saldırganın sistem düzeyinde erişim elde etmesine de olanak tanıyan bir uzaktan kod yürütme (RCE) hatası.
Sıfır Gün Üçlüsü
Üç sıfır gün güvenlik açığı, önemli ölçüde daha büyük bir güvenlik açığı kümesinin parçasıydı. 78 yeni CVE Microsoft, Salı günü aylık güvenlik güncellemesinde açıkladı. Şirket, bu kusurlardan dokuzunu “kritik” önem derecesinde ve 66’sını kuruluşlar için “önemli” bir tehdit olarak değerlendirdi.
Microsoft’un bu ay açıkladığı güvenlik açıklarının yaklaşık yarısı (38), güvenlik araştırmacılarının özellikle ciddi olarak değerlendirdiği bir kusur kategorisi olan uzaktan kod yürütme (RCE) hatalarıydı. Ayrıcalık yükselmesi hataları, bir sonraki en yüksek kategoriyi temsil ederken, onu hizmet reddi kusurları ve sahtecilik güvenlik açıkları izledi.
Bu ayki güncellemede güvenlik açıklarından sekizini bildiren Trend Micro’nun ZDI tehdit farkındalığı başkanı Dustin Childs, aktif saldırı altındaki tüm hataların kritik bir risk oluşturduğunu çünkü tehdit aktörlerinin zaten bunları kullandığını söylüyor.
“Grafik Bileşeni hatası (CVE-2023-21823) beni iki hesapta endişelendiriyor” diyor. Childs, “Bu, Mandiant tarafından bulunduğuna göre, büyük olasılıkla olay müdahalesi üzerinde çalışan bir ekip tarafından keşfedilmiştir” diyor. Bu, tehdit aktörlerinin onu ne kadar süredir kullanıyor olabileceği belirsiz olduğu anlamına geliyor. Ayrıca, güncellemenin Microsoft mağazası aracılığıyla edinilebilir olması da endişe verici.
“Mağazayla bağlantısı kesilen veya başka bir şekilde engellenen kişilerin güncellemeyi manuel olarak uygulamaları gerekecek” diyor.
Childs, Microsoft’un CVE-2023-21715 açıklamasına göre, Microsoft Office’teki güvenlik özelliği atlama güvenlik açığının daha çok bir ayrıcalık yükselmesi sorunu gibi göründüğünü söylüyor. “Bir güvenlik özelliğinin atlanıp kötüye kullanılması her zaman endişe vericidir. Umarız düzeltme sorunu kapsamlı bir şekilde çözer.”
Sonuç olarak, saldırganların aktif olarak istismar ettiği üç hata da endişe vericidir. Ancak Childs, bir tehdit aktörünün sistemi ele geçirmek için bu hataların her birini bir tür kod yürütme hatasıyla birlikte kullanması gerektiğini söylüyor.
Automox, Kuruluşlar için Microsoft 365 Uygulamaları CVE-2023-2175 yamasını 24 saat içinde kullanan kuruluşların tavsiye eder. Automox bir blog gönderisinde, “Bu güvenlik açığı, saldırganların Office güvenlik özelliklerini atlamak için bir dosya oluşturmasına olanak tanıyan, aktif olarak yararlanılan bir sıfır-gündür” dedi. Saldırganların, “kullanıcıları sosyal mühendislik yoluyla savunmasız cihazlarda dosya indirmeye ve açmaya zorlayabilirlerse, potansiyel olarak son kullanıcı cihazlarında kötü amaçlı kod yürütmelerine” olanak tanır.
Yeni Exchange Server Tehditleri
Tenable’da kıdemli personel araştırma mühendisi olan Satnam Narang, üç Microsoft Exchange Server güvenlik açığını vurguladı (CVE-2023-21706, CVE-2023-21707, CVE-2023-21529), Microsoft bunları saldırganların yararlanma olasılığının daha yüksek olduğu kusurlar olarak tanımladığı için kuruluşların not etmesi gereken sorunlar olarak.
Narang yaptığı açıklamada, “Son birkaç yılda, dünyanın dört bir yanındaki Microsoft Exchange Sunucuları, ProxyLogon’dan ProxyShell’e ve daha yakın zamanda ProxyNotShell, OWASSRF ve TabeShell’e kadar çok sayıda güvenlik açığı tarafından ezildi.”
Son yıllarda takas kusurlarının standart sponsorlu tehdit aktörleri için değerli mallar haline geldiğini söyledi. “Microsoft Exchange Server’a güvenen kuruluşlara, Exchange Server için en son Toplu Güncelleştirmeleri uygulamış olduklarından emin olmalarını şiddetle tavsiye ediyoruz.”
Microsoft PEAP’te RCE Hataları
Bu arada Cisco’nun Talos tehdit istihbarat grubundaki araştırmacılar, Microsoft Korumalı Genişletilebilir Kimlik Doğrulama Protokolü’nde (PEAP) üç RCE hatası Microsoft’un Şubat 2023 güvenlik güncelleştirmesindeki en kritik hatalar arasında yer alıyor.
İzlenen kusurlar CVE-2023-21689, CVE-2023-21690 Ve CVE-2023-21692kimliği doğrulanmış bir saldırganın sunucu hesabı bağlamında kötü amaçlı kod denemesine ve tetiklemesine izin verir.
Şirketten yapılan açıklamada, “En son Windows 11 dahil olmak üzere neredeyse tüm Windows sürümleri savunmasızdır” dedi.
CVE-2023-21689 — PEAP’deki üç kritik güvenlik açığından biri — Automox’a göre, saldırganların sunucu hesaplarını bir ağ araması yoluyla kötü amaçlı kod tetiklemesine olanak tanıyor.
“Çünkü bu güvenlik açığı hedef olma ihtimali yüksek ve saldırganların istismar etmesi nispeten basittir, yama uygulamanızı veya PEAP’nin ağ politikanızda izin verilen bir EAP türü olarak yapılandırılmadığından emin olmanızı öneririz.” ve PEAP’e izin veren bir politikaya sahip olun – kusuru 72 saat içinde düzeltmeli, Automox tavsiye etti.