Microsoft, Eylül Yaması Salı güncellemesinde beş kritik güvenlik açığını ve vahşi ortamda aktif saldırı altında olan iki “önemli” dereceli sıfır günü ele aldı.
Toplamda Microsoft, ürün gamındaki hataları gideren 59 yeni yama yayınladı: Bunlar Microsoft Windows, Exchange Server, Office, .NET ve Visual Studio, Azure, Microsoft Dynamics ve Windows Defender’ı etkiliyor.
Güncelleştirme ayrıca, Microsoft Edge’i etkileyen, aktif olarak yararlanılan, kritik bir Chromium sıfır gün hatası da dahil olmak üzere bir dizi üçüncü taraf sorununu da içeriyor. Dış sorunlarla birlikte CVE’lerin sayısı toplam 65’tir.
Düzeltmelerin genişliğine rağmen araştırmacılar, bu ay yama önceliklendirmesinin oldukça basit olduğunu, Microsoft Exchange Server’daki sıfır günlerin, kritik hataların ve sorunların ve TCP/IP protokolünün Windows uygulamasının ön plana çıkması gerektiğini belirtti. çoğu kuruluşun hattı.
Etkin Suistimal Altındaki Microsoft Sıfır Günleri
CVE’lerden ikisinin yama öncesinde tehdit aktörleri tarafından kullanıldığı listelenirken, yalnızca bir tanesinin kamuya açık olduğu listeleniyor. Her ikisinin de, bariz sebeplerden ötürü, yama yapılacaklar listesinin başında olması gerekir.
Genel hata Microsoft Word’de bulundu (CVE-2023-36761, CVSS 6.2); bu bir “bilgi ifşası” sorunu olarak sınıflandırılıyor, ancak Trend Micro’nun Sıfır Gün Girişimi (ZDI) araştırmacısı Dustin Childs, bunun ciddiyetine ters düştüğünü belirtti.
Salı günü yaptığı açıklamada, “Bir saldırgan bu güvenlik açığını NTLM karmalarının açığa çıkmasına izin vermek için kullanabilir ve bu muhtemelen daha sonra NTLM aktarma tarzı bir saldırıda kullanılacaktır” dedi. Microsoft’un Eylül yama sürümünde yayınlanıyor. “Sınıflandırmadan bağımsız olarak, önizleme bölmesi de burada bir vektördür, bu da hiçbir kullanıcı etkileşiminin gerekli olmadığı anlamına gelir. Bunu kesinlikle test ve konuşlandırma listenizin en üstüne koyun.”
Diğer sıfır gün Windows işletim sisteminde mevcuttur (CVE-2023-36802, CVSS 7.8), özellikle Microsoft Stream’in akış hizmeti proxy’sinde (eski adıyla Office 365 Video olarak biliniyordu). Öneriye göre, başarılı bir şekilde yararlanmak için bir saldırganın, ayrıcalıkların yönetici veya sistem ayrıcalıklarına yükseltilmesine izin verecek özel hazırlanmış bir programı çalıştırması gerekir.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, Dark Reading’e “Bu, 2023’te vahşi doğada istismar edilen sekizinci ayrıcalık yükseltme sıfır gün güvenlik açığıdır” dedi. “Saldırganların organizasyonları ihlal etmek için sayısız yolu olduğundan, yalnızca bir sisteme erişim sağlamak her zaman yeterli olmayabilir; bu da ayrıcalık yükseltme kusurlarının, özellikle de sıfır günlerin çok daha değerli hale geldiği yerdir.”
Eylül 2023 Kritik Güvenlik Açıkları
Kritik hatalara gelince, en endişe verici olanlardan biri CVE-2023-29332Microsoft’un Azure Kubernetes hizmetinde bulunur. Uzak, kimliği doğrulanmamış bir saldırganın Kubernetes Kümesi yönetim ayrıcalıkları kazanmasına olanak tanıyabilir.
Childs, gönderisinde “Bu, İnternet’ten erişilebildiği, kullanıcı etkileşimi gerektirmediği ve düşük karmaşıklık olarak listelendiği için öne çıkıyor” diye uyardı. “Bu hatanın uzak, doğrulanmamış yönüne bakıldığında, saldırganlar için oldukça cazip gelebilir.”
Kritik dereceli yamalardan üçü Visual Studio’yu etkileyen RCE sorunlarıdır (CVE-2023-36792, CVE-2023-36793Ve CVE-2023-36796Hepsinin CVSS puanı 7,8’dir). Bunların tümü, yazılımın etkilenen bir sürümüyle kötü amaçlı bir paket dosyası açıldığında rastgele kod yürütülmesine yol açabilir.
Automox’un ürün güvenliği yöneticisi Tom Bowyer, “Visual Studio’nun geliştiriciler arasındaki yaygın kullanımı göz önüne alındığında, bu tür güvenlik açıklarının etkisi domino etkisi yaratabilir ve zararı başlangıçta tehlikeye atılan sistemin çok ötesine yayabilir.” bir gönderide söyledi. “En kötü senaryoda bu, özel kaynak kodunun çalınması veya bozulması, arka kapıların açılması veya uygulamanızı başkalarına yönelik saldırılar için bir fırlatma rampasına dönüştürebilecek kötü niyetli müdahaleler anlamına gelebilir.”
Son kritik konu ise CVE-2023-38148 (CVSS 8.8, Microsoft’un bu ay yamaladığı en ciddi sürüm) ve bu, Windows’taki İnternet Bağlantı Paylaşımı (ICS) işlevi aracılığıyla kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanıyor. Saldırganın ağa bitişik olması gerekeceği gerçeği, riski azaltır; ayrıca çoğu kuruluş artık ICS kullanmamaktadır. Ancak hala kullananların hemen yama yapması gerekiyor.
Immersive Labs’ın siber güvenlik baş mühendisi Natalie Silva, “Saldırganlar bu güvenlik açığından başarıyla yararlanırsa gizlilik, bütünlük ve kullanılabilirlik tamamen kaybolabilir” diyor. “Yetkisiz bir saldırgan, hizmete özel hazırlanmış bir ağ paketi göndererek bu güvenlik açığından yararlanabilir. Bu, rastgele kod yürütülmesine yol açarak, potansiyel olarak yetkisiz erişime, veri manipülasyonuna veya hizmetlerin kesintiye uğramasına neden olabilir.”
Öncelik Verilecek Diğer Microsoft Yamaları
Eylül güncellemesinde ayrıca “istismar edilme ihtimalinin daha yüksek” olduğu düşünülen bir dizi Microsoft Exchange Server hatası da yer alıyor.
Sorunların üçlüsü (CVE-2023-36744, CVE-2023-36745Ve CVE-2023-36756(hepsi CVSS derecesi 8,0 olan) 2016-2019 sürümlerini etkiler ve hizmete yönelik RCE saldırılarına izin verir.
“Bu saldırıların hiçbiri sunucunun kendisinde RCE ile sonuçlanmasa da, geçerli kimlik bilgilerine sahip ağa bitişik bir saldırganın kullanıcı verilerini değiştirmesine veya hedeflenen bir kullanıcı hesabı için bir Net-NTLMv2 karması ortaya çıkarmasına izin verebilir ve bu da daha sonra kurtarılmak üzere kırılabilir. Immersive’in baş siber güvenlik mühendisi Robert Reeves, “Bu, başka bir hizmete saldırmak için bir kullanıcı şifresi veya ağ içinde dahili olarak aktarılan bir şifredir” diyor.
Ayrıca şunu ekliyor: “Ağ içinde Etki Alanı Yöneticisi veya benzer izinlere sahip olan ayrıcalıklı kullanıcılar, Microsoft’un güvenlik tavsiyesine aykırı olarak Exchange’de oluşturulmuş bir posta kutusuna sahipse, bu tür bir aktarma saldırısının önemli sonuçları olabilir.”
Ve son olarak, Automox’taki araştırmacılar Windows TCP/IP’de bir hizmet reddi (DoS) güvenlik açığını işaretlediler (CVE-2023-38149CVSS 7.5) öncelik verilmesi gerekenlerden biri olarak.
Automox CISO’su Jason Kikta, hatanın ağa bağlı herhangi bir sistemi etkilediğini ve “bir saldırganın bir ağ vektörü aracılığıyla herhangi bir kullanıcı kimlik doğrulaması veya yüksek karmaşıklık olmadan hizmeti kesintiye uğratmasına izin verdiğini” söyledi. Patch Tuesday’in dökümü. “Bu güvenlik açığı, dijital ortam için önemli bir tehdit teşkil ediyor. Bu zayıflıklar, sunuculara aşırı yükleme yapmak, ağların ve hizmetlerin normal işleyişini bozmak ve bunların kullanıcılar tarafından kullanılamaz hale gelmesine neden olmak için kullanılabilir.”
Bunların hepsi IPv6’nın devre dışı olduğu sistemlerin etkilenmediğini söyledi.