Microsoft, altı sıfır günlük smorgasbord sunuyor

Microsoft, biri kamuya açıklanmış ve üçü kritik Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) derecelendirmelerini taşıyan, Kasım Yaması Salı düşüşünde etkin olarak yararlanılan altı sıfır gün güvenlik açığı için düzeltmeler yayımladı.

Bu sıfır günler, normal güncellemeden biraz daha hafif bir şekilde yamalanan, ancak yılın zamanı nedeniyle güvenlik ekipleri için oldukça etkili olabilecek 11 kritik olmak üzere toplam 69 farklı güvenlik açığı arasında yer alıyor.

Qualys’te güvenlik açığı ve tehdit araştırması direktörü Bharat Jogi, “Tatil sezonuna yaklaşırken, saldırganlar genellikle bu süre zarfında faaliyetlerini artırdığından, örneğin Log4j, SolarWinds, güvenlik ekiplerinin yüksek düzeyde tetikte ve giderek daha uyanık olması gerekiyor” dedi.

Kötü aktörlerin, açıklanmış sıfır günlerden ve kuruluşların düzeltmeden bıraktığı güvenlik açıklarından yararlanmaya çalıştığını görmemiz olasıdır” dedi.

CVSS puanı 5,4 olan, yani kritik olmaktan çok önemli olduğu düşünülen, genel olarak açıklanan tek sıfır gün, Windows Mark of the Web’de (MotW) bir güvenlik özelliği atlama güvenlik açığı olan CVE-2022-41091’dir. İkinci bir MotW güvenlik açığı olan CVE-2022-41049 da yamalı.

Web’in İşareti, internetten indirilen dosyaları işaretlemesi ve kullanıcılardan bir güvenlik açılır penceresiyle dosyanın güvenilir olduğunu onaylamasını istemesi gereken bir özelliktir.

Tenable’da kıdemli personel araştırma mühendisi Satnam Narang şunları söyledi: “Özellikle herhangi bir araştırmacıya itibar edilmemiş olsa da, bu güvenlik açığının, HP’ye göre Magniber fidye yazılımı grubu tarafından vahşi doğada sahte yazılım güncellemeleri olarak kullanıldığı keşfedildi.”

CVE-2022-41091 kendi başına aşırı derecede zarar verici olmasa da, Tiberium baş güvenlik danışmanı Gareth Lindahl-Wise’ın açıkladığı gibi, MotW özelliği derinlemesine savunma güvenlik stratejisinin önemli bir unsurunu oluşturduğu için yine de yakından ilgilenilmesini garanti ediyor.

“MotW güvenlik açıkları, kötü amaçlı kodun tetiklenmesinin yolunu kolaylaştırabilecek dahili Office ‘Korumalı Görünümün’ bozulmasına veya atlanmasına neden olabilir” dedi.

Hepsi 8,8 CVSS puanları taşıyan üç kritik sıfır gün, CVE-2022-41040, CVE-2022-41082 ve CVE-2022-41128’dir.

Bunların dışında, uzaktan kod yürütme (RCE) güvenlik açığı CVE-2022-41040 ve ayrıcalık yükselmesi (EoP) güvenlik açığı CVE-2022-41082, Microsoft Exchange Server’ı etkiler ve güçlerinin birleşimiyle ProxyNotShell olarak bilinen saldırı zincirini oluşturur.

Adını ProxyShell saldırı zincirine benzerliğinden dolayı alan ProxyNotShell, Eylül ayında ortaya çıktı, ancak görünüşe göre saldırganların bundan sonuna kadar yararlanabilmeleri için bir güvenlik açığına karşı başarılı bir şekilde kimlik doğrulaması yapmaları gerektiği temelinde Ekim güncellemesinde yamalanmadı. sunucu.

Tenable’dan Narang, “ProxyNotShell’in etkisi, kimlik doğrulama gereksinimi nedeniyle sınırlı olsa da, vahşi ortamda istismar edilmiş olması ve saldırganların geçerli kimlik bilgileri elde etme yeteneğine sahip olması, hala bu önemli kusurları düzeltmeye zorluyor” dedi.

Bu arada, Windows Komut Dosyası Dillerinde bir RCE güvenlik açığı olan CVE-2022-41128, düşük karmaşıklık olduğu, ağ vektörünü kullandığı ve yararlanmak için herhangi bir ek ayrıcalığa ihtiyaç duymadığı için önceliklendirilmelidir. Ancak, bir kurbanı kötü niyetli bir web sitesini ziyaret etmesi için manipüle etmeye dayanır.

Immersive Labs siber tehdit araştırması direktörü Kev Breen, “Bu tür bir açık, geniş ölçekte birçok kullanıcıyı hedefleyebilecekleri ve erişim elde etmek için yalnızca bir başarılı etkileşime ihtiyaç duyabilecekleri bir ağa ilk adım atmak isteyen saldırganlar için idealdir” dedi.

“Bu saldırılar insan unsurunu istismar ediyor ve bu yüzden iş gücüne bu tür saldırıları tespit edip bunlardan kaçınmaları için beceri ve yetenekler vermek çok önemli” diye ekledi.

Her ikisi de 7,8 CVSS puanlarıyla önemli olarak derecelendirilen diğer iki sıfır gün, Windows Yazdırma Biriktiricisinde bir EoP güvenlik açığı olan CVE-2022-41073 ve Windows CNG Anahtar İzolasyon Hizmetinde bir EoP güvenlik açığı olan CVE-2022-41125’tir.

Immersive Labs’den Breen, “Baskı biriktiricisi, son 12 ayda güvenlik açıkları için popüler bir hedef oldu ve bu, dokuzuncu yamayı işaret ediyor” dedi.

“Bu tür ayrıcalık yükseltme güvenlik açıkları, neredeyse her zaman, tehdit aktörlerinin daha sonra sistem veya etki alanı düzeyinde erişim elde etmeye çalışacakları bir ilk uzlaşmanın takibi olarak görülüyor. Saldırganların bir ağ üzerinde yanlamasına hareket etmesine izin verebilen mimikatz gibi araçlarla kimlik bilgisi saldırıları gerçekleştirmeden önce güvenlik izleme araçlarını devre dışı bırakmak veya kurcalamak için bu daha yüksek erişim seviyesi gereklidir” dedi.

Read Previous

İngiltere Ulusal Siber Danışma Kurulu ilk kez toplandı

Read Next

Kiev Kent Konseyi CIO’su, BT ekiplerinin hazır olması için her şeyin olabileceğini söylüyor

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -