Microsoft’un ürünlerindeki ayrıcalık yükseltme hatalarının sayısı, 2021’de art arda ikinci yılda arttı ve bu güvenlik açığı kategorisinin kuruluşlar için oluşturduğu artan riski vurguladı.
Bomgar, yakın zamanda 2021’deki Microsoft güvenlik açığı açıklamalarından elde edilen verileri analiz etti ve şirketin ifşa ettiği toplam 1.212 hatanın 588’inin (veya %49’unun) saldırganlara güvenliği ihlal edilmiş sistemler ve ağlarda ayrıcalıkları yükseltmenin bir yolunu verdiğini buldu. Rakam, Bomgar’ın 2020’de saydığı Microsoft ürünlerindeki 559 ayrıcalık yükseltme hatalarından %5’lik bir artışı temsil ediyordu. diğer tüm güvenlik açığı kategorilerini gölgede bıraktı şirketin teknolojilerinde.
Eğilim önemlidir, çünkü kuruluşlar bazen ayrıcalık yükseltme güvenlik açıklarına diğer hatalardan daha az dikkat etme eğilimi gösterir, çünkü çoğu zaman yalnızca bir saldırgan bir sistemin güvenliğini tehlikeye attıktan sonra bunlardan yararlanılabilir. LARES Consulting’de rekabet mühendisliği direktörü Tim McGuffin, “Ayrıcalık yükseltme hataları, diğer bazı güvenlik açıkları gibi kuruluşlardan aynı ilgiyi görmüyor” diyor. Çoğu kuruluş, uzaktan kod yürütme güvenlik açıklarından ve diğer kusurlardan kaynaklanabilecek ilk uzlaşmayı önlemeye odaklanıyor, diyor. “Ancak [they] genellikle EoP güvenlik açıkları için yamaların önceliklerini kaldırır ve üç aylık veya yıllık yama döngülerine kadar bekler.”
Yeni Bir Trend
Microsoft’un teknolojilerindeki ayrıcalık yükseltme güvenlik açıklarının sayısı, şirketin ürünlerinde bildirilen toplam hata sayısı yıllardan sonra ilk kez düşmesine rağmen geçen yıl arttı. Microsoft’un 2021’de açıkladığı 1.212 hata, 2020’de bildirdiği 1.268 hatadan yaklaşık %5 daha düşüktü. Bu, hataların neredeyse ikiye katlandığı önceki dört yılla keskin bir tezat oluşturuyordu – 2016’da 451’den 2019’da 858’e.
Bomgar ayrıca, 2020’de 196’ya kıyasla Microsoft’un 2021’de ifşa ettiği kritik güvenlik açıklarının sayısında %47’lik bir düşüş gözlemledi – 104. Windows işletim sistemi güvenlik açıklarının sayısı da 2021’de önemli ölçüde düştü – Windows 7 ve Windows genelinde 907 güvenlik açığı rekoru RT, Windows 8/8.1 ve Windows 10’dan geçen yıl sadece 507’ye.
2019 yılına kadar Microsoft ürünlerinde en yaygın güvenlik sorunu türü olan uzaktan kod yürütme güvenlik açıkları, geçen yıl 326 ile ikinci sırada yer alırken, bunu bilgi ifşası güvenlik açıkları (119), kimlik sahtekarlığı (66) ve hizmet reddi hataları (55) izledi. Microsoft, geçen yıl toplam 44 güvenlik atlama açıklığı ve kurcalamayla ilgili 3 sorun bildirdi. Bomgar, Microsoft teknolojilerindeki taşma, bellek bozulması ve siteler arası komut dosyası çalıştırma kusurları gibi diğer güvenlik açıklarında düşüşler gözlemledi. Kümülatif olarak, 2021’de önceki yıla kıyasla bu üç kategoride 215 daha az güvenlik açığı vardı.
Satıcı, Microsoft’un daha iyi güvenlik ve kodlama uygulamaları da dahil olmak üzere, geçen yıl Microsoft güvenlik açığı azaltmalarının birkaç olası nedenini açıkladı; Windows 7 ve diğer ürünlerin kullanım ömrünün sonu: ve daha fazla kurumsal iş yükünün ve hizmetin buluta kayması.
Daha Az Kritik Güvenlik Açığı
IT-Harvest baş araştırma analisti Richard Stiennon, “196’dan 104’e rapor edilen kritik güvenlik açıklarında bir düşüş harika bir haber” diyor. “Yine de sadece rakamlardan içgörü elde etmek zor.”
Örneğin, ayrıcalık yükseltme güvenlik açıklarındaki artış, araştırmacıların Microsoft ürünlerindeki bu kusurları daha çok aradıklarını gösterdiği için önemlidir. Stiennon, “Bunlar kritik öneme sahiptir, çünkü bir saldırgan bunları nihai olarak yönetici ayrıcalıkları elde etmek ve böylece bir sistemin tam kontrolünü elde etmek için kullanacaktır” diyor. “APT grupları, araç kutularında hedeflerini tehlikeye atmak için genellikle bir tür yükseltme istismarına sahiptir.”
Bomgar, Microsoft’un 2021’in sonlarında güvenlik açıklarını bildirmek için endüstri standardı CVSS biçimini benimsemesinin, geçen yıl ifşa ettiği kritik güvenlik açıklarından kaçının kullanıcı sistemlerinde yönetici haklarını kaldırarak azaltılabileceğini belirlemeyi de imkansız hale getirdiğini söyledi.
Bomgar’ın baş güvenlik stratejisti Christopher Hills, CVSS’nin bir güvenlik açığının ciddiyetine göre sayısal bir puan üretmek üzere tasarlanmış verilerden türetildiğini söylüyor. “Bu, genel izleyici için hangi güvenlik açıklarının en yüksek önem derecesine sahip olduğunu görme açısından harika” diyor. “Ancak, ayrıcalık yükseltmesinden yararlanan bu güvenlik açıkları için kamuflaj sağlıyor, çünkü bunlar artık rapora gömülüyor.”
2015 ve 2020 arasında, kritik Microsoft güvenlik açıklarının yaklaşık %75’i, kullanıcı sistemlerinde yönetici hakları kaldırılarak hafifletilebilirdi. Bomgar’a göre, durumun artık çok değiştiğine inanmak için çok az neden var.
Hills, “Son kullanıcı sistemleri ve uzaktan erişim, kötü aktörler için en önemli saldırı vektörü olduğu için, kullanıcıların son kullanıcı sistemlerinde kalıcı haklara veya yönetici haklarına sahip olmaları için gerçekten geçerli bir neden yok” diyor. Yönetici haklarının kaldırılması, son kullanıcı üretkenliğini etkileme ve kötü bir kullanıcı deneyimini teşvik etme potansiyeline sahip olduğunu kabul ediyor: “Ancak günümüzün teknolojisi ve mevcut çözümlerle, bir ihlal veya uzlaşma maliyetinden daha ağır basabilecek hiçbir son kullanıcı üretkenliği yoktur. “
McGuffin, geçen yıl bildirilen Microsoft güvenlik açıklarındaki düşüşün başka nedenlerle de ilgili olabileceğini söylüyor. Bazı ülkeler, yeni keşfedilen güvenlik açıklarının önce hükümete bildirilmesi gerektiği ve ancak o zaman satıcıya bildirilebileceği şekilde güvenlik açığı açıklama süreçlerini değiştirdi. “Aynı ülkeler, vatandaşların, güvenlik açıklarının yarışmadan sonra kamuya açıklanacağı Pwn2Own gibi yarışmalara katılma yeteneklerini de kısıtladı” diye belirtiyor.
McGuffin, araştırmacıların bazen belirli alanlara ve teknolojilere odaklanmasının, belirli bir kategoride keşfedilen güvenlik açıklarının sayısı üzerinde de etkisi olabileceğini söylüyor. “Örnek olarak, bir güvenlik açığı [Windows] yazdırma biriktirici hizmeti, diğer birkaç araştırmacıyı daha derine inmeye teşvik etti ve artık biriktiricide bir düzineden fazla RCE ve PrivEsc güvenlik açığı var” diyor.
