Microsoft, Ekim ayının Salı Yaması güncellemesinde aktif saldırı altında olan ve Microsoft WordPad ve Skype Kurumsal’ı etkileyen iki sıfır gün güvenlik açığını işaretledi. Sürümde aynı zamanda, hassas sistemlerin yöneticilerine korku salabilecek, Mesaj Queuing’de kritik düzeyde, solucan oluşturabilen bir hata da yer alıyor.
Bu iki hata, bilgisayar devinin bu ay ele aldığı toplam 103 CVE’den oluşan bir kadronun parçası. Yamalar, Azure, ASP.NET, Core ve Visual Studio dahil olmak üzere Microsoft portföyünün geniş bir yelpazesini çalıştırıyor; Değişim Sunucusu; Office, Microsoft Dynamics ve Windows.
Ekim ayına uygun olarak, kritik dereceli güvenlik açıklarının sayısı şanssız bir şekilde 13’e ulaştı; ve özellikle de güncellemedeki düzeltmelerin tam %20’si Microsoft Messenger Queuing (MSMQ) ile ilgilidir.
Ekim 2023 Aktif Suistimal Altındaki Hatalar
Tüyler ürpertici aktif istismar kampına düşen, vahşi doğada saldırıya uğrayan ilk sorun CVE-2023-36563WordPad kelime işlem programındaki, NTLM karmalarını açığa çıkararak NTLM aktarma saldırılarına kapı açabilen bir bilgi ifşa hatası.
Action1’in başkanı ve kurucu ortağı Mike Walters, “Bu güvenlik açığından yararlanmak için bir saldırganın öncelikle sisteme erişim sağlaması gerekir” dedi. Ekim Yaması Salı yorumu. “Daha sonra, güvenlik açığından yararlanmak ve etkilenen sistemin kontrolünü ele geçirmek için tasarlanmış özel hazırlanmış bir uygulamayı çalıştıracaklar.”
“Alternatif olarak, saldırgan yerel bir kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna edebilir. Bu ikna, kullanıcıyı genellikle e-posta veya anlık mesaj yoluyla bir bağlantıya tıklamaya ikna etmeyi ve ardından onları özel hazırlanmış dosyayı açmaya ikna etmeyi içerebilir.”
Azaltma konusunda araştırmacı Dustin Childs, “Microsoft herhangi bir Önizleme Bölmesi vektörünü listelemiyor, bu nedenle kullanıcı etkileşimi gerekiyor” dedi. Trend Micro’nun Sıfır Gün Girişimi, bir blogda. “Bu yamayı uygulamanın yanı sıra, Windows 11’de SMB üzerinden giden NTLM’yi engellemeyi de düşünmelisiniz. Bu yeni özellik çok fazla ilgi görmedi, ancak NTLM geçişi açıklarından yararlanmaları önemli ölçüde engelleyebilir.”
Bu sırada, CVE-2023-41763 Skype Kurumsal’da yönetici rüyalarına girmeye hazır. Bu bir ayrıcalık yükselmesi sorunu olarak listeleniyor, ancak Childs bunun bir bilgi ifşa sorunu olarak ele alınması gerektiğine dikkat çekti.
Walters, “Bir saldırgan, hedeflenen Skype Kurumsal sunucusuna özel hazırlanmış bir ağ çağrısı başlatarak bu güvenlik açığından yararlanabilir” dedi. “Bu eylem, rastgele bir adrese gönderilen bir HTTP isteğinin ayrıştırılmasına ve potansiyel olarak IP adreslerinin ve bağlantı noktası numaralarının açığa çıkmasına yol açabilir.”
Bazı durumlarda iç ağlara erişim sağlayabilecek veriler de dahil olmak üzere bazı hassas bilgilerin ifşa edilebileceğini ekledi. Ancak saldırganın açığa çıkan verileri değiştirmesine veya etkilenen kaynağa erişimi kısıtlamasına izin vermez.
20 Microsoft Mesaj Kuyruğa Alma Güvenlik Açıkları
Ayrıca bu ay siber güvenlik savunucularını ürküten tam 20 farklı MSMQ güvenlik açığı var ve bunlar birlikte Ekim ayı düzeltmelerinin çok büyük bir yüzdesini temsil ediyor. Onlardan biri, CVE-2023-35349ayın en korkutucu (yani en şiddetli) meselesi olma özelliğini kazanıyor; CVSS kritik puanı 10 üzerinden 9,8’dir.
Hata, kullanıcı etkileşimi olmadan kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine (RCE) izin veriyor; bu da sorunun, Message Queuing’in etkin olduğu sistemlerde solucan olabileceği anlamına geliyor.
MSMQ, birden fazla sunucu veya ana bilgisayardaki uygulamaların birbirleriyle iletişim kurmasına ve iletişimin gerektiği gibi saklanmasına ve kuyruğa alınmasına izin vermek için kullanılır. Varsayılan olarak etkin değildir ancak Immersive Labs’ın baş güvenlik mühendisi Rob Reeves’e göre Microsoft Exchange Server kurulum sırasında bunu etkinleştirebilir.
E-postayla gönderilen Patch Tuesday yorumunda, “Başarılı bir saldırının, saldırgana hedefte SİSTEM düzeyinde izinler vermesi veya çekirdekten yararlanmasına izin vermesi kuvvetle muhtemeldir” dedi. “Kurumsal bir ortamın MSMQ hizmetini Internet’te halka açık bir şekilde açığa çıkarması alışılmadık bir durum olarak kabul edilir… dolayısıyla bir saldırganın bir saldırıda bu güvenlik açığından yararlanmak için öncelikle hedef ağı başarılı bir şekilde kimlik avına tabi tuttuğunu ve bu güvenlik açığını keşfettiğini varsaymak mantıklıdır. numaralandırma sırasında savunmasız hizmet.”
Reeves, kullanıcıların hemen yama yapması gerektiğini, ancak güvenlik duvarı aracılığıyla TCP Bağlantı Noktası 1801’deki güvenilmeyen bağlantılardan gelen iletişimi engelleyerek de sorunu hafifletebileceklerini ekledi.
Childs, diğer MSMQ hatalarının, kullanıcı etkileşimi gerektiren RCE sorunları ile gerektirmeyen DoS kusurlarının bir karışımı olduğunu belirtti.
“Microsoft, başarılı bir kullanımın hizmeti durdurup durdurmayacağını veya tüm sistemi mavi ekrana boğacağını belirtmiyor” dedi. “Ayrıca, DoS açığı sona erdiğinde sistemin otomatik olarak iyileşip iyileşmeyeceğini de not etmiyorlar. Bu yıl çok sayıda Message Queuing hatası düzeltildi, bu nedenle riske maruz kalma durumunuzu belirlemek için kuruluşunuzu denetlemenin şimdi tam zamanı.”
Bu Ay Diğer Microsoft Bugbear’lara Öncelik Verilecek
Dikkat edilmesi gereken diğer güvenlik canavarlarına gelince, CVE-2023-36434 ZDI’dan Childs’a göre Windows IIS Sunucusu öne çıkıyor. Hatadan başarıyla yararlanan bir saldırgan, etkilenen IIS sunucusunda başka bir kullanıcı olarak oturum açabilir.
Ayrıcalık yükselmesi güvenlik açığı Microsoft tarafından “önemli” olarak etiketlendi, çünkü bir tehdit aktörünün bunu kullanabilmesi için ağda zaten mevcut olması gerekiyordu, ancak CVSS 9.8 derecelendirmesine sahip.
Childs, “Bugünlerde kaba kuvvet saldırıları kolayca otomatikleştirilebiliyor” dedi. “IIS çalıştırıyorsanız, bunu kritik bir güncelleme olarak değerlendirmeli ve hızlı bir şekilde yama yapmalısınız.”
Bu arada Action1’den Walters, Katman 2 Tünel Protokolünde, hepsinin CVSS puanı 8,1 olan dokuz RCE güvenlik açığından oluşan bir grubun altını çizdi (CVE-2023-41774, CVE-2023-41773, CVE-2023-41771, CVE-2023-41770, CVE-2023-41769, CVE-2023-41768, CVE-2023-41767, CVE-2023-41765Ve CVE-2023-38166).
“Ağ tabanlı bir saldırı vektörüne sahipler, başarılı bir şekilde yararlanmak için yüksek düzeyde karmaşıklığa sahipler, herhangi bir özel ayrıcalık gerektirmiyorlar ve kullanıcı etkileşimi gerektirmiyorlar” dedi. “Bunların kullanımı oldukça karmaşık… Bu güvenlik açıklarından başarılı bir şekilde yararlanmak için, bir saldırganın bir yarış koşulunu aşması gerekir. Kimliği doğrulanmamış bir saldırgan bunu, Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) sunucusuna dikkatle hazırlanmış bir protokol mesajı göndererek başarabilir.”
SQL Server için Microsoft Windows Veri Erişim Bileşenleri (WDAC) OLE DB sağlayıcısındaki bir RCE güvenlik açığı (CVE-2023-36577CVSS 8.8), Automox’un CISO’su ve kıdemli başkan yardımcısı Jason Kikta’nın dikkatini çekti.
Salı Yaması tavsiyesinde “SQL Server için Microsoft WDAC OLE DB Sağlayıcısı, Microsoft SQL Server veritabanlarından uç noktalara verimli veri erişimini kolaylaştırmak için tasarlanmış bir dizi bileşendir” dedi. “Bu, geliştiricilerin SQL Server da dahil olmak üzere hemen hemen her veri kaynağıyla iletişim kurabilen uygulamalar oluşturmasına olanak tanıyan WDAC’ın önemli bir öğesidir. Bu güvenlik açığı, bir saldırganın, kullanıcıyı kötü amaçlı bir yazılıma bağlanmaya ikna ederek hedeflenen sistemde rastgele kod yürütmesine olanak sağlayabilir. veri tabanı.”
“Bu saldırılar, ortamı yalnızca güvenilir sunuculara bağlanacak şekilde yapılandırarak ve sertifika doğrulamayı zorunlu kılarak azaltılabilir.”
Ve son olarak Ivanti’nin güvenlik ürünlerinden sorumlu başkan yardımcısı Chris Goettl, Ekim Yaması Salı’nın Windows 11 21H2 ve Microsoft Server 2012/2012 R2 için son güncellemeleri içerdiğini belirtti.
E-postayla gönderilen yorumunda “İkincisi, Kasım sürümünden itibaren Genişletilmiş Güvenlik Desteğine (ESU) giriyor ve Microsoft ayrıca bu güncellemeleri etkinleştirmek için kullanılan anahtarların Azure Arc’ın bir parçası olarak yönetileceğini duyurdu. Gelecek hafta yayınlanmaları gerekiyor” dedi. .
“Ömrünü tamamlamış yazılımlar kuruluş için risk oluşturur” diye uyardı. “Bu işletim sistemi sürümleri için bundan sonra genel güncelleme mevcut olmayacak. Windows 11 kullanıcıları için bu, yeni bir Windows 11 şubesine yükseltme anlamına gelir. Server 2012/2012 R2 için ESU’ya abone olmanız veya daha yeni bir sunucu sürümüne geçiş yapmanız önemle tavsiye edilir. “
Bu ayki sürüm aynı zamanda yeni açıklanan HTTP/2 Hızlı Sıfırlama dağıtılmış hizmet reddi (DDoS) hatasına yönelik bir düzeltme ekinin yanı sıra Microsoft Edge’i etkileyen harici bir Chromium kusuruna yönelik bir düzeltme eki de içeriyor.