Microsoft’un Temmuz güvenlik güncellemesi beşi saldırganların zaten vahşi ortamda aktif olarak istismar ettiği 130 benzersiz güvenlik açığı için düzeltmeler içerir.
Şirket, kusurlardan dokuzunu kritik önemde ve 121’ini orta veya önemli düzeyde olarak derecelendirdi. Güvenlik açıkları, Windows, Office, .Net, Azure Active Directory, Yazıcı Sürücüleri, DMS Sunucusu ve Uzak Masaüstü dahil olmak üzere çok çeşitli Microsoft ürünlerini etkiler. Güncelleme, uzaktan kod yürütme (RCE) kusurları, güvenlik atlama ve ayrıcalık yükseltme sorunları, bilgi ifşa hataları ve hizmet reddi güvenlik açıklarının olağan karışımını içeriyordu.
“Bu düzeltme hacmi, son birkaç yılda gördüğümüz en yüksek seviye olmasına rağmen,‘Trend Micro’nun Zero Day Initiative (ZDI) güvenlik araştırmacısı Dustin Childs bir blog yazısında, “Microsoft’un Black Hat USA konferansından hemen önce çok sayıda yama gönderdiğini görmek alışılmadık bir durum değil,” dedi.
Güvenlik araştırmacılarına göre, yama önceliklendirme açısından Microsoft’un bu hafta açıkladığı beş sıfır gün, acil ilgiyi hak ediyor.
Bunların en ciddisi CVE-2023-36884, Office ve Windows HTML’de bir uzaktan kod yürütme (RCE) hatası ve Microsoft’un bu ayki güncellemede bir yaması bulunmuyor. Şirket, takip ettiği bir tehdit grubu olan Storm-0978’in Kuzey Amerika ve Avrupa’daki hükümet ve savunma kuruluşlarını hedef alan bir kimlik avı kampanyasındaki açıktan yararlandığını belirledi.
Kampanya, Ukrayna Dünya Kongresi ile ilgili temalara sahip Windows belgeleri aracılığıyla RomCom adlı bir arka kapı dağıtan tehdit aktörünü içeriyor. “Fırtına-0978‘Hedeflenen operasyonlar, başta Ukrayna olmak üzere hükümet ve askeri kuruluşların yanı sıra Avrupa ve Kuzey Amerika’daki potansiyel olarak Ukrayna işlerine karışan kuruluşları da etkiledi” dedi. Microsoft bir blogda söyledi Temmuz güvenlik güncellemesine eşlik eden gönderi. “Belirlenen fidye yazılımı saldırıları, diğerleri arasında telekomünikasyon ve finans sektörlerini etkiledi.”
ZDI’da başka bir araştırmacı olan Dustin Childs, Microsoft’un kendisi görece daha az ciddi, “önemli” bir hata olarak değerlendirmesine rağmen kuruluşları CVE-2023-36884’ü “kritik” bir güvenlik sorunu olarak ele almaları konusunda uyardı. “Microsoft, bu CVE’yi yayınlamak gibi garip bir eylemde bulundu. olmadan bir yama. O‘Hala gelecek,” diye yazdı Childs bir blog yazısında. “Açıkçası, orada‘bu istismara söylenenden çok daha fazlası.”
Aktif olarak istismar edilen beş güvenlik açığından ikisi, güvenlik baypas kusurlarıdır. Biri Microsoft Outlook’u etkiler (CVE-2023-35311) ve diğeri Windows SmartScreen’i (CVE-2023-32049). Her iki güvenlik açığı da kullanıcı etkileşimi gerektirir; bu, bir saldırganın yalnızca bir kullanıcıyı kötü amaçlı bir URL’yi tıklamaya ikna ederek bunlardan yararlanabileceği anlamına gelir. CVE-2023-32049 ile bir saldırgan, Dosya Aç – Güvenlik Uyarısı istemini atlayabilirken, CVE-2023-35311, saldırganlara Microsoft Outlook Güvenlik Bildirimi istemiyle saldırılarını gizlemenin bir yolunu sunar.
“Not etmek önemlidir [CVE-2023-35311] Action1 güvenlik açığı ve tehdit araştırmasından sorumlu başkan yardımcısı Mike Walters, “Bu nedenle, saldırganlar, kapsamlı bir saldırı için muhtemelen onu diğer açıklardan yararlanma yöntemleriyle birleştirir. Güvenlik açığı, 2013’ten itibaren Microsoft Outlook’un tüm sürümlerini etkiliyor” dedi.
Immersive Labs siber tehdit araştırma direktörü Kev Breen, sıfır günü atlayan diğer güvenliği değerlendirdi — CVE-2023-32049 — tehdit aktörlerinin büyük olasılıkla daha geniş bir saldırı zincirinin parçası olarak kullanacakları başka bir hata olarak.
Microsoft’un en son yama setindeki diğer iki sıfır gün, her ikisi de ayrıcalık yükseltmeyi mümkün kılar. Google’ın Tehdit Analizi Grubundaki araştırmacılar bunlardan birini keşfetti. Kusur, şu şekilde izlenir: CVE-2023-36874, Windows Hata Raporlama (WER) hizmetinde, saldırganlara güvenlik açığı bulunan sistemlerde yönetici hakları elde etmeleri için bir yol sağlayan bir ayrıcalık yükselmesi sorunudur. Saldırganın, diğer açıklardan yararlanma veya kimlik bilgilerini kötüye kullanma yoluyla elde edebileceği kusurdan yararlanmak için etkilenen bir sisteme yerel erişime ihtiyacı olacaktır.
Automox’ta bir güvenlik araştırmacısı olan Tom Bowyer, “WER hizmeti, Microsoft Windows işletim sistemlerinde bulunan ve belirli yazılımlar çöktüğünde veya başka türde hatalarla karşılaştığında hata raporlarını otomatik olarak toplayan ve Microsoft’a gönderen bir özelliktir” dedi. “Bu sıfır gün güvenlik açığı aktif olarak kullanılıyor, bu nedenle kuruluşunuz tarafından WER kullanılıyorsa, 24 saat içinde yama yapmanızı öneririz” dedi.
Saldırganların zaten aktif olarak istismar ettiği Temmuz güvenlik güncellemesindeki diğer ayrıcalık yükselmesi hatası: CVE-2023-32046 Microsoft’un Windows MSHTM platformunda, diğer adıyla “Trident” tarayıcı oluşturma motorunda. Diğer birçok hatada olduğu gibi, bu da bir düzeyde kullanıcı etkileşimi gerektirir. Hatadan yararlanmak için bir e-posta saldırısı senaryosunda, saldırganın hedeflenen bir kullanıcıya özel hazırlanmış bir dosya göndermesi ve kullanıcının dosyayı açmasını sağlaması gerekir. Microsoft, Web tabanlı bir saldırıda, bir saldırganın özel hazırlanmış bir dosyayı barındırmak için kötü amaçlı bir web sitesi barındırması veya güvenliği ihlal edilmiş bir web sitesini kullanması ve ardından kurbanı bu web sitesini açmaya ikna etmesi gerektiğini söyledi.
Windows Yönlendirme, Uzaktan Erişim Hizmetinde RCE’ler
Güvenlik araştırmacıları, Windows Yönlendirme ve Uzaktan Erişim Hizmeti’ndeki (RRAS) üç RCE güvenlik açığına işaret etti (CVE-2023-35365, CVE-2023-35366Ve CVE-2023-35367) hepsi gibi öncelikli ilgiyi hak ediyor. Microsoft, üç güvenlik açığını da kritik olarak değerlendirdi ve üçünün de CVSS puanı 9,8. Automox’tan Bowyer, hizmetin Windows Server’da varsayılan olarak bulunmadığını ve temel olarak işletim sistemini çalıştıran bilgisayarların yönlendiriciler, VPN sunucuları ve çevirmeli ağ sunucuları olarak işlev görmesini sağladığını söyledi. “Başarılı bir saldırgan, ağ yapılandırmalarını değiştirebilir, verileri çalabilir, diğer daha kritik/önemli sistemlere geçebilir veya cihaza kalıcı erişim için ek hesaplar oluşturabilir.“
SharePoint Sunucu Kusurları
Microsoft’un devasa Temmuz güncellemesi, son zamanlarda popüler bir saldırgan hedefi haline gelen SharePoint sunucusundaki dört RCE güvenlik açığı için düzeltmeler içeriyordu. Microsoft, hatalardan ikisini “önemli” olarak derecelendirdi (CVE-2023-33134 ve CVE-2023-33159) ve diğer ikisi “kritik” (CVE-2023-33157 ve CVE-2023-33160). Silverfort kıdemli araştırmacısı Yoav Iellin, “Hepsi saldırganın kimliğinin doğrulanmasını veya kullanıcının, şans eseri ihlal riskini azaltan bir eylem gerçekleştirmesini gerektiriyor” dedi. “Yine de, SharePoint hassas veriler içerebileceğinden ve genellikle kuruluş dışından açığa çıktığından, şirket içi veya hibrit sürümleri kullananlar güncelleme yapmalıdır.”
FEDRAMP, PCI, HIPAA, SOC2 ve benzeri regülasyonlara uymak zorunda olan kuruluşların dikkat etmesi gereken hususlar CVE-2023-35332: Cyolo’nun araştırma başkanı Dor Dali, bir Windows Uzak Masaüstü Protokolü Güvenlik Özelliğini Atlama hatası olduğunu söyledi. Güvenlik açığının, kuruluşlar için önemli güvenlik ve uyumluluk riski oluşturan Datagram Aktarım Katmanı Güvenliği (DTLS) sürüm 1.0 dahil olmak üzere eski ve kullanımdan kaldırılmış protokollerin kullanımıyla ilgili olduğunu söyledi. Bir kuruluşun hemen güncelleme yapamadığı durumlarda RDP ağ geçidinde UDP desteğini devre dışı bırakması gerektiğini söyledi.
Ek olarak, Microsoft bir danışma yayınladı Microsoft tarafından sertifikalandırılmış sürücüleri kullanan tehdit aktörleri hakkındaki son raporlara yönelik soruşturması hakkında‘İstismar sonrası etkinlikte Windows Donanım Geliştirici Programı (MWHDP).
