Microsoft’un Aralık 2023’e yönelik aylık güvenlik güncellemesi, BT ve güvenlik ekipleri için kesinlikle canlandırıcı bir mola olacak ve son aylara kıyasla daha az sayıda güvenlik açığı içeriyordu.
Güncelleme, Microsoft’un dördü kritik önemde, biri orta ve geri kalanı önemli veya orta şiddette tehdit olarak tanımladığı toplam 36 güvenlik açığına yönelik düzeltmeler içeriyordu. Aralık güncellemesindeki hatalardan 11’i (veya üçte birinden fazlası), tehdit aktörlerinin istismar etme olasılığının daha yüksek olduğu sorunlardır. Bu, Microsoft’un bir hata olması muhtemel hatalar için ayırdığı bir açıklamadır. saldırganlar için cazip hedef ve sürekli olarak sömürebilecekleri bir şey.
Bu yamalar Microsoft bugün piyasaya çıktı AMD yonga setindeki bir güvenlik açığı için bir tane ekleyin (CVE-2023-20588) kavram kanıtlarının kamuya açık olduğu durumlar. Ancak bu yıl yalnızca ikinci kez, Aralık ayı güvenlik güncellemesi aktif olarak yararlanılan hiçbir kusur içermiyordu; bu genellikle anında yanıt verilmesini gerektiren bir şeydi.
Erken Tatil Hediyesi?
Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, “Aralık Salı Yaması, güvenlik ekiplerine az sayıda yama içeren ve hiçbirinin açıkta istismar edildiği bildirilmeyen erken bir sezon hediyesi gibi görünebilir” dedi. “Fakat bu, kimsenin bir bardak sıcak şarapla rahat etmesi gerektiği anlamına gelmiyor.” Özellikle saldırganların bugünlerde yeni kusurlardan ne kadar hızlı yararlandığı göz önüne alındığında, Microsoft’un istismar edilme olasılığının daha yüksek olduğunu tespit ettiği nispeten yüksek sayıdaki CVE’nin dikkatli davranmanın bir nedeni olduğuna dikkat çekti.
Breen, özellikle yama güncellemesinin, uzaktan kod yürütme hatalarından sürekli olarak daha düşük önem derecesine sahip olan ancak neredeyse aynı derecede tehlikeli olan bir hata kategorisi olan 10 ayrıcalık yükseltme güvenlik açığına yönelik düzeltmeler içerdiğini söyledi. “Neredeyse her güvenlik ihlali, saldırganın sistem düzeyinde izinler almasına, güvenlik araçlarını devre dışı bırakmasına veya diğer saldırıları ve araçları dağıtmasına olanak tanıyan bir ayrıcalık yükseltme aşaması içerecektir” dedi.
Aralık Grubunda Öncelik Verilecek Hatalar
Alışılagelmişin dışına çıkarak, güvenlik araştırmacıları en son partideki en önemli hatalar olarak algıladıkları şeyler konusunda biraz farklı yaklaşımlara sahipti. Ancak çoğu kişinin yüksek öncelikli bir konu olduğu konusunda hemfikir olduğu kusur, CVE-2023-35628Windows MSHTML platformunda bir uzaktan kod yürütme hatası. Microsoft, hataya CVSS ölçeğinde 10 üzerinden 8,1 önem derecesi verdi ve bunu tehdit aktörlerinin kötüye kullanma olasılığının daha yüksek olduğu bir sorun olarak tanımladı.
Qualys güvenlik açığı ve tehdit araştırması müdürü Saeed Abbasi, “Önizleme Bölmesinde e-postayı görüntülemenin soruna neden olduğu olağan durumların aksine, sorun bu kez daha erken ortaya çıkıyor” diyor. “Sorun, Outlook e-postayı indirip işlediğinde, hatta Önizleme Bölmesinde görünmeden önce ortaya çıkıyor.”
Fidye yazılımı çetelerinin akıştan yararlanmaya çalışacağını öngörüyor. Abbasi, “Ancak bunu başarılı bir şekilde kullanmak, karmaşık hafıza şekillendirme tekniklerini gerektiriyor ve bu da önemli bir zorluk teşkil ediyor” diye ekliyor.
MSHTML’nin, HTML ve diğer tarayıcı tabanlı içerikleri işlemek için Windows’un temel bir bileşeni olması da hatanın ciddiyetini artırıyor. Breen, bileşenin yalnızca tarayıcıların bir parçası olmadığını, aynı zamanda Microsoft Office, Outlook, Teams ve Skype gibi uygulamalarda da bulunduğunu söyledi.
Automox’un CISO’su Jason Kikta şunları vurguladı: CVE-2023-35618Microsoft’un Chromium tabanlı Edge tarayıcısındaki ayrıcalık yükselmesi hatası, kuruluşların öncelikli olarak gidermesi gereken bir sorundur. Kikta, “Bu güvenlik açığı orta şiddette olarak derecelendirildi ancak göz ardı edilmemelidir” dedi. “Bu durum, Microsoft Edge’in normalde güvenli olan tarama ortamını potansiyel bir riske dönüştürerek tarayıcı sanal alanından kaçışa neden olabilir.”
Microsoft, hataya CVSS ciddiyet derecesini mümkün olan maksimum 10 üzerinden 9,6 olarak verdi. Aynı zamanda şirket, kullanıcı etkileşiminin miktarı ve bir saldırgan için gerekli ön koşullar nedeniyle kusuru yalnızca orta önemde bir güvenlik açığı sorunu olarak değerlendirdi. onu istismar edebilmek.
Aralık 2023 güncelleştirmesindeki yedi uzaktan kod yürütme güvenlik açığından ikisi, Windows’taki İnternet Bağlantı Paylaşımı (ICS) özelliğini etkiliyor. Her iki güvenlik açığı da — CVE-2023-35641 Ve CVE-2023-35630 — CVSS puanı 8,8’dir, ancak Microsoft yalnızca ilkini saldırganların hedefleme olasılığının daha yüksek olduğu bir güvenlik açığı olarak tanımlamıştır.
Action1’in başkanı ve kurucu ortağı Mike Walters, “Bu güvenlik açıkları, bitişik bir saldırı vektörü, düşük karmaşıklık, düşük ayrıcalık gereksinimleri ve kullanıcı etkileşimine gerek olmaması gibi benzer özellikleri paylaşıyor” dedi. “Bu saldırıların kapsamı, saldırganla aynı ağ bölümündeki sistemlerle sınırlıdır, bu da WAN gibi birden fazla ağ üzerinden gerçekleştirilemeyeceği anlamına gelir.”
Güvenlik araştırmacılarının dikkate değer olduğunu söylediği diğer iki güvenlik açığı: CVE-2023-35636Outlook’ta bir bilgi ifşa kusuru ve CVE-2023-36696Windows Bulut Dosyaları Mini Filtre Sürücüsünde bir ayrıcalık yükselmesi güvenlik açığı.
Abbasi, CVE-2023-35636’nın ilginç olduğunu çünkü kullanıcı e-postaları önizlerken sorun yaratmadığını söylüyor. Ancak kötüye kullanılması durumunda, bilgisayar korsanlarının diğer kullanıcılarmış gibi davranmak ve bir şirketin ağına daha derinlemesine girmek için kullanabileceği NTLM karmalarını açığa çıkarabileceğini de ekliyor.
Geçen Yıla Göre Hafif Bir Düşüş
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, Mini Filtre Sürücüsü güvenlik açığını, bir saldırganın ayrıcalıkları yükseltmek için uzlaşma sonrasında yararlanabileceği bir şey olarak tanımladı. Hatanın, Microsoft’un bu sürücüde açıkladığı altıncı güvenlik açığı olduğunu söyledi.
“Microsoft 2023 için 909 CVE’yi yamaladı; 2022’ye göre %0,87 oranında hafif bir düşüşNarang, bunların 23’ünün, Microsoft’un açıkladığı ve onlar için bir yama yayınladığı sırada saldırganların aktif olarak kullandığı sıfır gün güvenlik açıkları olduğunu söyledi. Sıfır günlerin yarısından fazlası, ayrıcalık yükselmesi güvenlik açıklarıydı. dedi.