Microsoft bu soruna yönelik düzeltmeler yayımladı 63 güvenlik hatası Kasım 2023 ayına ait yazılımında, vahşi ortamda aktif olarak istismar edilen üç güvenlik açığı da yer alıyor.
63 kusurdan üçü Kritik, 56’sı Önemli ve dördü Orta şiddette olarak derecelendirildi. Bunlardan ikisi, yayınlandığı tarihte kamuya açık olarak listelenmişti.
Güncellemeler ek olarak 35’ten fazla güvenlik açığı Ekim 2023 için Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında ele alındı.
Dikkate alınan beş sıfır gün aşağıdaki gibidir:
- CVE-2023-36025 (CVSS puanı: 8,8) – Windows SmartScreen Güvenlik Özelliği Güvenlik Açıklarını Atlıyor
- CVE-2023-36033 (CVSS puanı: 7,8) – Windows DWM Çekirdek Kitaplığı’nda Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36036 (CVSS puanı: 7,8) – Windows Cloud Files Mini Filtre Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36038 (CVSS puanı: 8,2) – ASP.NET Çekirdekte Hizmet Reddi Güvenlik Açığı
- CVE-2023-36413 (CVSS puanı: 6,5) – Microsoft Office Güvenlik Özelliğinde Güvenlik Açığı Atlama
Hem CVE-2023-36033 hem de CVE-2023-36036, bir saldırgan tarafından SİSTEM ayrıcalıkları kazanmak için kullanılabilir; CVE-2023-36025 ise Windows Defender SmartScreen kontrollerini ve bunlarla ilişkili istemleri atlamayı mümkün kılabilir.
Microsoft, CVE-2023-36025 hakkında şunları söyledi: “Kullanıcının, saldırgan tarafından tehlikeye atılacak bir İnternet Kısayolu dosyasına işaret eden özel hazırlanmış bir İnternet Kısayoluna (.URL) veya köprüye tıklaması gerekir.”
Ancak Windows üreticisi, kullanılan saldırı mekanizmaları ve bunları silah haline getirebilecek tehdit aktörleri hakkında daha fazla rehberlik sağlamadı. Ancak ayrıcalık yükseltme kusurlarının aktif olarak kullanılması, bunların muhtemelen bir uzaktan kod yürütme hatasıyla birlikte kullanıldığını gösteriyor.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “Son iki yılda DWM Çekirdek Kütüphanesinde 12 ayrıcalık yükselmesi güvenlik açığı yaşandı, ancak bu, sıfır gün olarak vahşi ortamda istismar edilen ilk güvenlik açığı.” dedi. The Hacker News ile paylaşılan bir açıklamada.
Bu gelişme ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) harekete geçirdi. eklemek Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğundaki üç sayı, federal kurumları düzeltmeleri 5 Aralık 2023’e kadar uygulamaya çağırıyor.
Korumalı Genişletilebilir Kimlik Doğrulama Protokolü ve Pragmatik Genel Çok Noktaya Yayındaki iki kritik uzaktan kod yürütme hatası da Microsoft tarafından yamalanmıştır (CVE-2023-36028 Ve CVE-2023-36397CVSS puanları: 9,8) bir tehdit aktörünün kötü amaçlı kodun yürütülmesini tetiklemek için kullanabileceği bir özelliktir.
Kasım güncellemesi ayrıca kritik bir CVE-2023-38545 (CVSS puanı: 9,8) için bir yama içerir. yığın tabanlı arabellek taşması kusuru geçen ay gün ışığına çıkan curl kitaplığında ve ayrıca Azure CLI’deki bilgilerin açığa çıkması güvenlik açığında (CVE-2023-36052CVSS puanı: 8.6).
Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etkilenen CLI komutları tarafından oluşturulan ve Azure DevOps ve/veya GitHub Actions tarafından yayınlanan günlük dosyalarından düz metin şifreleri ve kullanıcı adlarını kurtarabilir” dedi.
Sorunu bildiren Palo Alto Networks araştırmacısı Aviad Hahami, söz konusu güvenlik açığı, işlem hattının günlüğünde depolanan kimlik bilgilerine erişime olanak tanıyabilir ve bir saldırganın, sonraki saldırılar için potansiyel olarak ayrıcalıklarını yükseltmesine olanak tanıyabilir.
Yanıt olarak Microsoft söz konusu Azure CLI’yi (sürüm 2,54) gizli bilgilerin açığa çıkmasına yol açabilecek yanlışlıkla kullanıma karşı güçlendirmek için çeşitli Azure CLI komutlarında değişiklikler yaptı.
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: