Mart Yama Günü’nde Microsoft, çeşitli şirket ürünlerindeki düzinelerce güvenlik açığını kapatır. Halihazırda aktif olarak saldırıya uğramış iki sıfır gün güvenlik açığı öne çıkıyor. Microsoft, bazıları CVSS derecelendirmesinden bağımsız olan toplam dokuz güvenlik açığını kritik olarak sınıflandırır.
Güvenlik Güncelleştirmesi Kılavuzu’nda Microsoft, güncelleştirmelerle dolu güvenlik açıkları için 80 CVE girişi listeler. Bununla birlikte, 80 güvenlik açığından dördü Github’u ve ikisi artık Microsoft tarafından düzeltilen TPM’leri etkiliyor, bu nedenle yama günü güncellemeleri Microsoft ürünlerindeki 74 yeni güvenlik açığını etkili bir şekilde ele alıyor.
Microsoft Patchday: Güvenlik açıklarının aktif olarak kötüye kullanılması
Vahşi doğada, şu anda kapatılan güvenlik açıklarından ikisi zaten kötü aktörler tarafından kullanılıyor. ABD bilgi güvenliği yetkilisi CISA daha sonra bunları Bilinen Yararlanılan Güvenlik Açıkları Kataloğu’nda listeledi.
İlki Microsoft Outlook’u etkiler ve saldırganların ayrıcalıklarını artırmasına olanak tanır (CVE-2023-23397, CVSS 9.8risk”eleştirmen“). Saldırganlar bu güvenlik açığından yararlanarak bir kullanıcının Net-NTLMv2 hash’ini ele geçirebilir. Bu, kendilerini kurban olarak doğrulamak için başka bir hizmete yönelik bir NTLM geçiş saldırısında kullanılabilir” diyor Microsoft, Güvenlik Açığı’nın açıklamasında. Güvenlik açığından yararlanmak için özel hazırlanmış bir e-posta göndermeniz yeterlidir. Outlook istemcisi alıp işlediğinde hata otomatik olarak tetiklenir. Hata, e-posta önizleme penceresinde görüntülenmeden önce oluşur. Bu şekilde manipüle edilen bir e-posta, kurbandan saldırganın sunucusuna, kurbanın Net-NTLMv2 hash’inin saldırganlara ulaştığı bir bağlantıyı tetikleyebilir.
Halihazırda saldırıya uğramış olan ikinci güvenlik açığı, Windows SmartScreen güvenlik özelliğini (CVE-2023-24880, CVSS) atlıyor 5.4, yarım). Saldırganlar, Web İşareti (MOTW) korumalarını atlayan kötü amaçlı dosyalar oluşturabilir. Microsoft, bu güvenlik açığı hakkında “Microsoft Office’te MOTW etiketlemeye dayanan Korumalı Görünüm gibi güvenlik özelliklerinin sınırlı bütünlük ve kullanılabilirlik kaybına yol açabileceğini” açıklıyor. Google’ın Tehdit Analizi Grubu (TAG), siber suçluların Magniber kötü amaçlı yazılımını yaymak için güvenlik açığından nasıl yararlandığını gözlemledi.
Saldırganlar, özellikle geçersiz ama özenle hazırlanmış bir Authenticode imzasıyla imzalanmış MSI dosyalarını dağıttı. Yanlış imzalama, SmartScreen’in bir hata döndürmesine neden olur. Bu da, güvenilmeyen bir dosya, kötü amaçlı olabilecek bir dosyanın İnternetten indirildiğini gösteren bir Web İşareti (MotW) içerdiğinde kullanıcıların görmesi beklenen güvenlik uyarısı iletişim kutusunu atlar. Microsoft, MotW mekanizmasını sık sık yamalamak zorunda kaldı, en son olarak geçen yılın Kasım ayında, saldırganlar onu atlatmayı başardığında.
Çok sayıda güncellenmiş ürün
Zero-Day Initiative’den BT güvenliği araştırmacıları, HTTP protokol yığınındaki başka bir kritik güvenlik açığını da tahmin ediyor; bu güvenlik açığı sayesinde saldırganlar önceden kayıt yaptırmadan ağdan kötü amaçlı kod enjekte edebilir ve özel olarak hazırlanmış, ” solucan” gibi sistem ayrıcalıklarıyla çalışan paketler gönderebilir. Kötü amaçlı kod daha sonra güvenlik açığı bulunan Windows 11 ve Server 2022 sistemlerine (CVE-2023-23392, CVSS) otomatik olarak yayılabilir. 9.8, eleştirmen). Aynı tehlikeyi, uygulamaların yalnızca ham yuvalar (CVE-2023-23415, CVSS) kullandıklarında savunmasız olduğu İnternet Kontrol İletisi Protokolü’ndeki (ICMP) kritik bir güvenlik açığında görüyorlar. 9.8, eleştirmen).
Microsoft’un Mart Yama Günü sürüm notlarına göre, güncellemeler Azure, İstemci Sunucu Çalışma Zamanı Alt Sistemi (CSRSS), İnternet Kontrol Mesajı Protokolü (ICMP), Microsoft Bluetooth Sürücüsü, Microsoft Dynamics, Microsoft Edge’deki ürünler, bileşenler ve özelliklerdeki güvenlik açıklarını doldurdu. (Chromium tabanlı), Microsoft Grafik Bileşeni, Microsoft Office Excel, Microsoft Office Outlook, Microsoft Office SharePoint, Microsoft OneDrive, Microsoft PostScript Yazıcı Sürücüsü, Microsoft Yazıcı Sürücüsü, Microsoft Windows Codec Kitaplığı , Android için Office, Noktadan Noktaya Uzaktan Erişim Tünel Protokolü, Rol: DNS Sunucusu, Rol: Windows Hyper-V, Service Fabric, Visual Studio ve desteklenen tüm Windows sürümlerinde ve ayrıca çeşitli Windows bileşenlerinde.
Güvenlik düzeltmelerine ek olarak, Windows işletim sistemleri için toplu güncelleştirmeler, Şubat güncelleştirmesi önizlemesine göre düzeltmeler ve işlevsel iyileştirmeler içerir. Yama günü güncellemeleriyle kapatılan zafiyetlerin bir kısmı halihazırda aktif olarak saldırıya uğradığı için BT yöneticilerinin tereddüt etmemesi ve bunları hemen uygulaması gerekiyor.
Microsoft, Microsoft 365 Uygulamaları ve Windows’ta aktif olarak saldırıya uğrayan güvenlik açıklarını Şubat yama gününde zaten kapatmıştı.
(dmk)
Haberin Sonu
Güvenlik Güncelleştirmesi Kılavuzu’nda Microsoft, güncelleştirmelerle dolu güvenlik açıkları için 80 CVE girişi listeler. Bununla birlikte, 80 güvenlik açığından dördü Github’u ve ikisi artık Microsoft tarafından düzeltilen TPM’leri etkiliyor, bu nedenle yama günü güncellemeleri Microsoft ürünlerindeki 74 yeni güvenlik açığını etkili bir şekilde ele alıyor.
Microsoft Patchday: Güvenlik açıklarının aktif olarak kötüye kullanılması
Vahşi doğada, şu anda kapatılan güvenlik açıklarından ikisi zaten kötü aktörler tarafından kullanılıyor. ABD bilgi güvenliği yetkilisi CISA daha sonra bunları Bilinen Yararlanılan Güvenlik Açıkları Kataloğu’nda listeledi.
İlki Microsoft Outlook’u etkiler ve saldırganların ayrıcalıklarını artırmasına olanak tanır (CVE-2023-23397, CVSS 9.8risk”eleştirmen“). Saldırganlar bu güvenlik açığından yararlanarak bir kullanıcının Net-NTLMv2 hash’ini ele geçirebilir. Bu, kendilerini kurban olarak doğrulamak için başka bir hizmete yönelik bir NTLM geçiş saldırısında kullanılabilir” diyor Microsoft, Güvenlik Açığı’nın açıklamasında. Güvenlik açığından yararlanmak için özel hazırlanmış bir e-posta göndermeniz yeterlidir. Outlook istemcisi alıp işlediğinde hata otomatik olarak tetiklenir. Hata, e-posta önizleme penceresinde görüntülenmeden önce oluşur. Bu şekilde manipüle edilen bir e-posta, kurbandan saldırganın sunucusuna, kurbanın Net-NTLMv2 hash’inin saldırganlara ulaştığı bir bağlantıyı tetikleyebilir.
Halihazırda saldırıya uğramış olan ikinci güvenlik açığı, Windows SmartScreen güvenlik özelliğini (CVE-2023-24880, CVSS) atlıyor 5.4, yarım). Saldırganlar, Web İşareti (MOTW) korumalarını atlayan kötü amaçlı dosyalar oluşturabilir. Microsoft, bu güvenlik açığı hakkında “Microsoft Office’te MOTW etiketlemeye dayanan Korumalı Görünüm gibi güvenlik özelliklerinin sınırlı bütünlük ve kullanılabilirlik kaybına yol açabileceğini” açıklıyor. Google’ın Tehdit Analizi Grubu (TAG), siber suçluların Magniber kötü amaçlı yazılımını yaymak için güvenlik açığından nasıl yararlandığını gözlemledi.
Saldırganlar, özellikle geçersiz ama özenle hazırlanmış bir Authenticode imzasıyla imzalanmış MSI dosyalarını dağıttı. Yanlış imzalama, SmartScreen’in bir hata döndürmesine neden olur. Bu da, güvenilmeyen bir dosya, kötü amaçlı olabilecek bir dosyanın İnternetten indirildiğini gösteren bir Web İşareti (MotW) içerdiğinde kullanıcıların görmesi beklenen güvenlik uyarısı iletişim kutusunu atlar. Microsoft, MotW mekanizmasını sık sık yamalamak zorunda kaldı, en son olarak geçen yılın Kasım ayında, saldırganlar onu atlatmayı başardığında.
Çok sayıda güncellenmiş ürün
Zero-Day Initiative’den BT güvenliği araştırmacıları, HTTP protokol yığınındaki başka bir kritik güvenlik açığını da tahmin ediyor; bu güvenlik açığı sayesinde saldırganlar önceden kayıt yaptırmadan ağdan kötü amaçlı kod enjekte edebilir ve özel olarak hazırlanmış, ” solucan” gibi sistem ayrıcalıklarıyla çalışan paketler gönderebilir. Kötü amaçlı kod daha sonra güvenlik açığı bulunan Windows 11 ve Server 2022 sistemlerine (CVE-2023-23392, CVSS) otomatik olarak yayılabilir. 9.8, eleştirmen). Aynı tehlikeyi, uygulamaların yalnızca ham yuvalar (CVE-2023-23415, CVSS) kullandıklarında savunmasız olduğu İnternet Kontrol İletisi Protokolü’ndeki (ICMP) kritik bir güvenlik açığında görüyorlar. 9.8, eleştirmen).
Microsoft’un Mart Yama Günü sürüm notlarına göre, güncellemeler Azure, İstemci Sunucu Çalışma Zamanı Alt Sistemi (CSRSS), İnternet Kontrol Mesajı Protokolü (ICMP), Microsoft Bluetooth Sürücüsü, Microsoft Dynamics, Microsoft Edge’deki ürünler, bileşenler ve özelliklerdeki güvenlik açıklarını doldurdu. (Chromium tabanlı), Microsoft Grafik Bileşeni, Microsoft Office Excel, Microsoft Office Outlook, Microsoft Office SharePoint, Microsoft OneDrive, Microsoft PostScript Yazıcı Sürücüsü, Microsoft Yazıcı Sürücüsü, Microsoft Windows Codec Kitaplığı , Android için Office, Noktadan Noktaya Uzaktan Erişim Tünel Protokolü, Rol: DNS Sunucusu, Rol: Windows Hyper-V, Service Fabric, Visual Studio ve desteklenen tüm Windows sürümlerinde ve ayrıca çeşitli Windows bileşenlerinde.
Güvenlik düzeltmelerine ek olarak, Windows işletim sistemleri için toplu güncelleştirmeler, Şubat güncelleştirmesi önizlemesine göre düzeltmeler ve işlevsel iyileştirmeler içerir. Yama günü güncellemeleriyle kapatılan zafiyetlerin bir kısmı halihazırda aktif olarak saldırıya uğradığı için BT yöneticilerinin tereddüt etmemesi ve bunları hemen uygulaması gerekiyor.
Microsoft, Microsoft 365 Uygulamaları ve Windows’ta aktif olarak saldırıya uğrayan güvenlik açıklarını Şubat yama gününde zaten kapatmıştı.
(dmk)
Haberin Sonu