Microsoft’un Mayıs 2023 güvenlik güncelleştirmesi, saldırganların aktif olarak yararlandığı ikisi de dahil olmak üzere toplam 49 yeni güvenlik açığı için düzeltmelerle Ağustos 2021’den bu yana en hafif cilttir.
Güncelleme, Microsoft’un Edge tarayıcısının temel aldığı açık kaynaklı Chromium motorundaki dokuz güvenlik açığı için düzeltmeler içeriyor. Şirket, kalan 40 güvenlik açığından yedisinin kritik önemde olduğunu ve geri kalanının “önemli” olduğunu belirledi.
Aktif Olarak Kullanılan Kusurlar
Microsoft’un Mayıs güncellemesinde düzelttiği aktif olarak kullanılan iki güvenlik açığı, şirketin Salı Yaması’nda en az bir sıfır gün hatası açıkladığı beşinci ayı işaret ediyor. Bu ayın yeni sıfır günlerinden biri, (CVE-2023-29336) Saldırganlar, etkilenen sistemlerin tam kontrolünü ele geçirmek için istismar edebilir.
Trend Micro’nun Zero Day Initiative (ZDI) araştırmacıları bir blog yazısında, Microsoft’a hatayı bildirenin kötü amaçlı yazılımdan koruma sağlayıcısı Avast olması gerçeğinin, tehdit aktörlerinin bu hatayı kötü amaçlı yazılım dağıtmak için kullandığını gösterdiğini söyledi.
ZDI, “Bu tür bir ayrıcalık artışı, kötü amaçlı yazılım yaymak için genellikle bir kod yürütme hatasıyla birleştirilir” dedi. “Her zaman olduğu gibi, Microsoft bu saldırıların ne kadar yaygın olabileceği konusunda hiçbir bilgi vermiyor.”
Action 1’de güvenlik açığı ve tehdit araştırmasından sorumlu başkan yardımcısı M. Walters, e-postayla gönderilen yorumlarda, şu anda kusur için herhangi bir geçici çözüm veya alternatif düzeltme bulunmadığını, bunun da yama yapmanın riski azaltmanın en etkili yolu olduğu anlamına geldiğini söyledi. “Bunun ışığında, Sağlanan yamalarla sistemleri derhal güncellemek kesinlikle çok önemlidir,” diye tavsiyede bulundu Walters.
İkinci hata bu ayın güncellemesi Saldırganların şu anda yararlandığı bu güvenlik özelliği, sistem başlatma sırasında önyükleme işlemini yetkisiz değişikliklerden ve kötü amaçlı yazılımlardan korumak için Windows Güvenli Önyükleme özelliğindeki bir güvenlik özelliğini atlama güvenlik açığıdır.
olarak tanımlanan hata CVE-2023-24932, bir saldırganın Güvenli Önyüklemeyi atlamasına ve kendi tercih ettiği bir önyükleme politikası kurmasına olanak tanır. Saldırganın kusurdan yararlanabilmesi için etkilenen makinede fiziksel erişime veya yönetici haklarına ihtiyacı olacaktır. Tenable’daki kıdemli personel mühendisi Satnam Narang, kusurun BlackLotus ile ilgili göründüğünü söyledi. Güvenlik satıcısı ESET’in sunduğu UEFI bootkit ilk olarak Mart 2023’te bildirildi.
Bir Sürü RCE – Yine
Microsoft’un Mayıs 2023 güncellemesinde ifşa ettiği güvenlik açıklarının yaklaşık dörtte biri veya 12’si uzaktan kod yürütülmesini mümkün kılıyor; sekizi bilgi açıklama kusurlarıdır; ve altısı saldırganların güvenlik kontrollerini atlamasına izin verir.
RCE’ler, bir ağ üzerinden dosya paylaşımı ve uzaktan erişim için Microsoft’un Ağ Dosya Sistemi (NFS) protokolünü etkiler; Windows Pragmatik Genel Çoklu Yayın (PGM); Windows Bluetooth Sürücüsü; ve Windows Hafif Dizin Erişim Protokolü (LDAP).
Birkaç güvenlik satıcısı, Microsoft NFS’de bir RCE tanımladı (CVE-2023-24941) sunduğu risk nedeniyle kuruluşların öncelik vermesi gereken bir şey olarak. Microsoft, hatayla ilişkili düşük saldırı karmaşıklığı ve ayrıca kullanıcı etkileşimi gerektirmemesi nedeniyle CVE’ye Mayıs güncellemesindeki en yüksek değer olan 9,8’lik bir önem puanı atadı. Microsoft, düşük ayrıcalıklara sahip bir saldırganın, kimliği doğrulanmamış, özel olarak hazırlanmış bir NFS hizmeti çağrısı yoluyla ağ üzerindeki kusurdan yararlanabileceğini söyledi.
Şirket güvenlik açığı için bir hafifletme yayınladı. Ancak kuruluşları, NFSV2.0 ve NFSV3.0’daki önceki bir kusur için yamayı henüz yüklememişlerse hafifletmeyi kullanmaları konusunda uyardı (CVE-2022-26937) Microsoft’un Mayıs 2022’de yama yaptığı.
Silverfort kıdemli araştırmacısı Yoav Iellin, e-postayla gönderilen bir yorumda, “NFS protokolü, SMB protokolünün daha yaygın olduğu Windows’a göre Linux ve Unix ortamlarında daha yaygındır” dedi. Iellin, “Yine de, NFS sunucuları olarak Windows sunucusunu kullanan kuruluşlar, Microsoft’un düzeltmesini derhal uygulamayı düşünmelidir” dedi.
Diğer Kritik Hatalar
SANS İnternet Fırtına Merkezi, CVE-2023-28283, Windows LDAP’deki bir RCE, Microsoft’un kendisi hatanın istismar edilme olasılığının düşük olduğunu değerlendirmesine rağmen, kuruluşun dikkat etmesi gereken Mayıs ayı setindeki başka bir hata olarak. Güvenlik açığı, saldırganlara özel hazırlanmış LDAP çağrıları aracılığıyla LDAP hizmeti bağlamında RCE elde etme yolu sağlar.
Bu güvenlik açığından başarıyla yararlanan kimliği doğrulanmamış bir saldırgan, LDAP hizmeti bağlamında rasgele kod yürütmek için özel hazırlanmış bir dizi LDAP çağrısı yoluyla kod yürütme elde edebilir. Ancak güvenlik açığına saldırmak, yüksek derecede karmaşıklıkdedi SANS.
Microsoft’un kavram kanıtı kodu zaten mevcut olduğu için istismar edilme olasılığının daha yüksek olduğunu tanımladığı kritik kusurlardan biri, CVE-2023-29325, Windows Nesne Bağlama ve Gömme (OLE) teknolojisinde bir RCE. Saldırgan, kurbana özel hazırlanmış bir e-posta göndererek ve kurbanın e-postayı Microsoft Outlook’un etkilenen bir sürümüyle açmasını veya yalnızca önizleme bölmesinde görüntülemesini sağlayarak kusuru tetikleyebilir.
Iellin, “Outlook’un önizleme bölmesinde dikkatlice hazırlanmış kötü amaçlı bir e-postaya basit bir göz atma eylemi, uzaktan kod yürütmeyi etkinleştirmek ve potansiyel olarak alıcının bilgisayarını tehlikeye atmak için yeterlidir” dedi.
Microsoft, kusura karşı koruma sağlamak için kullanıcıların sorunu düzeltene kadar e-postayı düz metin biçiminde okumasını önerir. Şirket ayrıca, yöneticilerin Outlook’u tüm standart e-postaları düz metin olarak okuyacak şekilde nasıl yapılandırabileceği konusunda rehberlik sağladı.