Microsoft’un Nisan 2023 için Salı Yaması güvenlik güncelleştirmesi, fidye yazılımı saldırılarında aktif istismar kapsamında sıfır gün hatası ve bir tehdit aktörünün yakın zamanda bir tedarik zinciri saldırısında yararlandığı 2013’teki bir kusur için düzeltmenin yeniden yayımlanmış hali de dahil olmak üzere 97 CVE için yamalar içeriyor 3CX’te ve ciddiyet açısından kritik olarak derecelendirilen bir solucan hatası.
Microsoft, bu ay düzelttiği toplam yedi hatanın kritik öneme sahip olduğunu belirledi; bu da genellikle kuruluşların yama uygulama açısından bunları birinci öncelik haline getirmesi gerektiği anlamına gelir.
Fidye Yazılım Saldırılarında Kullanılan Zero-Day
Nisan güncellemesindeki güvenlik açıklarının yaklaşık yarısı veya 45’i, Microsoft’un önceki üç ayın her birinde bildirdiği ortalama 33 RCE hatasına göre önemli bir artış olan uzaktan kod yürütmeyi (RCE) etkinleştiriyor. Buna rağmen şirket, son gruptaki CVE’lerin yaklaşık %90’ını siber saldırganların yararlanma olasılığının düşük olduğu hatalar olarak derecelendirdi — yalnızca %9’u, tehdit aktörlerinin yararlanma olasılığının daha yüksek olduğu kusurlar olarak nitelendirildi.
Sıfır gün hatası, şu şekilde izlenir: CVE-2023-28252, Windows Ortak Günlük Dosya Sisteminde (CLFS) bulunan ve Windows 10 ve Windows Server’ın desteklenen tüm sürümlerini etkileyen bir ayrıcalık yükselmesi güvenlik açığıdır. Son aylardaki ikinci CLFS sıfır günü – diğeri CVE-2022-37969 – ve zaten platforma erişimi olan düşmanlara sistem seviyesinde yüksek düzeyde ayrıcalıklı ayrıcalıklar kazanmanın bir yolunu sunar.
Automox’ta güvenlik araştırmacısı olan Gina Geisel, “Bu güvenlik açığı, bir cihazdan aktif olarak yararlanmak için mevcut sistem erişiminden yararlanıyor ve CLFS sürücüsünün bir sistemdeki bellekteki nesnelerle nasıl etkileşime girdiğinin bir sonucudur” dedi. Saldırganın kusurdan yararlanabilmesi için bir sistemde oturum açması ve ardından ayrıcalıkları yükseltmek için kötü amaçlı bir ikili dosya yürütmesi gerekir.
Geisel, Dark Reading’e e-postayla gönderilen yorumlarda, “Automox, bu aktif olarak yararlanılan bir sıfır gün olduğundan, yama dağıtımını 24 saat içinde öneriyor” dedi.
Microsoft’un güncellemesiyle birlikte yayınlanan bir blog gönderisinde Kaspersky, araştırmacılarının bir tehdit aktörü gözlemlediğini söyledi. Nokoyawa fidye yazılımı sağlamak için CVE-2023-28252’den yararlanma Kuzey Amerika, Orta Doğu ve Asya’daki küçük ve orta ölçekli kuruluşlara ait sistemlerde. Güvenlik satıcısının analizi, açıklardan yararlanmaların CLFS’yi hedefleyen halihazırda bilinen sürücü açıklarından yararlanmalara benzer olduğunu gösteriyor.
Analize göre, “Kodunun %80’inden fazlasının zarif bir şekilde ikili dosyaya derlenmiş ‘önemsiz’ olmasıyla açıktan yararlanma oldukça karmaşıktı.” Kaspersky araştırmacıları, Şubat ayında bir rakibin onu fidye yazılımı saldırılarında kullandığını gözlemledikten sonra hatayı Microsoft’a bildirdiklerini söyledi.
Geçmişten Bir Yama
Araştırmacıların kuruluşların dikkat etmesini önerdiği Microsoft’un Nisan güncellemesindeki bir başka yama da CVE-2013-3900, Windows WinVerifyTrust işlevinde 10 yıllık bir imza doğrulama güvenlik açığı. Kuzey Koreli Lazarus Group olduğuna inanılan bir tehdit aktörü, kısa bir süre önce 3CX’e yönelik bir tedarik zinciri saldırısındaki kusurdan yararlandı ve bu, şirketin video konferans yazılımı kullanıcılarına ait sistemlere kötü amaçlı yazılım inmesine neden oldu.
Microsoft, yamayı 2013’te yayınladığında, düzeltmenin bazı kuruluşlar için sorunlara neden olma potansiyeli nedeniyle şirket, düzeltme ekini isteğe bağlı bir düzeltme eki haline getirmeye karar vermişti. Nisan güvenlik güncelleştirmesi ile Microsoft, düzeltmeyi daha fazla platform için kullanılabilir hale getirdi ve kuruluşların sorunun nasıl ele alınacağına ilişkin daha fazla öneri sağladı.
“Tavsiyeler hakkındaki bilgiler de dahil olmak üzere tüm önerileri gözden geçirmek için kesinlikle zaman ayırın. Microsoft Güvenilir Kök Programıve çevrenizi korumak için gerekli önlemleri alın,” Dustin Childs, araştırmacı Trend Micro’nun Sıfır Gün Girişimi (ZDI) bir blog gönderisinde söyledi.
Çok Sayıda RCE Güvenlik Açıkları
Araştırmacılar, April’ın toplu işinde acil eylem gerektiren iki kritik güvenlik açığı belirlediler. Onlardan biri CVE-2023-21554.
Hata, Microsoft Message Queuing (MSMQ) teknolojisini etkiliyor ve saldırganlara bir MSMQ sunucusuna özel hazırlanmış bir MSMQ paketi göndererek RCE elde etme yolu sunuyor. Automox araştırmacısı Peter Pflaster, e-postayla gönderilen yorumlarda, güvenlik açığının sistemlerinde mesaj kuyruğu özelliğinin etkinleştirildiği Windows 10, 11 ve Server 2008-2022 sistemlerini etkilediğini söyledi. Şirket, tehdit aktörlerinin güvenlik açığından yararlanma olasılığının daha yüksek olduğunu belirttiğinden, yöneticiler sorun için en kısa sürede Microsoft yamasını uygulamayı düşünmelidir.
Bu, Microsoft’un bu hafta düzelttiği Windows Message Queuing sistemini etkileyen iki kritik güvenlik açığından yalnızca biri. Diğeri CVE-2023-28250CVE-2023-21554 gibi Windows Pragmatic Multicast’ta 9.8 taban puana sahip ve potansiyel olarak solucan olabilen bir güvenlik açığı.
Qualys güvenlik açığı ve tehdit Araştırması Direktörü Bharat Jogi, “Salı günü MSFT bu yama, bazı kritik kusurları düzeltti; kuruluşlara, aktif olarak istismar edilen ve solucanlara yol açabilen güvenlik açıklarını yamalamaya öncelik vermelerini tavsiye ediyoruz” dedi.
Derhal düzeltilmesi gereken diğer kritik güvenlik açığı ise CVE-2023-28231, DHCP Sunucusu hizmetinde bir RCE hatası. Microsoft, hatayı, saldırganların deneyip silah haline getirme olasılığının daha yüksek olduğu başka bir sorun olarak değerlendirdi. Bir saldırganın bu açıktan yararlanabilmesi için bir ağda önceden erişime sahip olması gerekir. Ancak Immersive Labs’ta siber tehdit araştırma direktörü Kevin Breen’e göre, düşman bir kez onu ele geçirdiğinde DHCP sunucusunda uzaktan kod yürütmeyi başlatabilir.
Breen, e-postayla gönderilen yorumlarda “Microsoft, DHCP hizmetlerinin Etki Alanı Denetleyicilerine yüklenmemesini öneriyor, ancak daha küçük kuruluşlar genellikle DC ve DHCP hizmetlerinin aynı yerde bulunduğunu görecek. Bu durumda etki çok daha yüksek olabilir,” diye uyardı. DHCP sunucuları üzerinde denetime sahip olan saldırganların, hizmet olarak yazılım (SaaS) ürünleri için kimlik bilgilerini çalmak veya ortadaki makine (MITM) saldırılarını gerçekleştirmek dahil olmak üzere ağda önemli ölçüde hasara yol açabileceğini belirtti.