Microsoft Sıfır Günler Defender'ın Baypas Edilmesine ve Ayrıcalık Arttırılmasına İzin Veriyor - Dünyadan Güncel Teknoloji Haberleri

Microsoft Sıfır Günler Defender'ın Baypas Edilmesine ve Ayrıcalık Arttırılmasına İzin Veriyor - Dünyadan Güncel Teknoloji Haberleri
Bu güvenlik açığı aynı zamanda etkilenen sistemlerde sistem düzeyindeki ayrıcalıklara erişime de olanak tanır ve kötüye kullanılması nispeten kolaydır Bunlar, belirli ortamlarındaki güvenlik açıklarının yaygınlığını, etkilenen varlıkları, bu varlıklara erişilebilirliği, sömürülebilirlik kolaylığını ve diğer hususları içerir Ullrich, “Windows Pragmatik Genel Çok Noktaya Yayın (PGM) protokolündeki bir uzaktan kod yürütme güvenlik açığı olan CVE-2023-36397, önceki aylarda bunun için yamalarımız olduğundan dikkat çekicidir” diye yazdı “Bu sürücünün hemen hemen tüm Windows sürümlerinde yaygın olarak bulunması, riski artırıyor ve geniş bir saldırı yüzeyi sağlıyor ”

Üçüncü sıfır gün hatası, CVE-2023-36025, saldırganlara Windows Defender SmartScreen denetimlerini kötü amaçlı web siteleri ve riskli veya tanınmayan dosyalar ve uygulamalar hakkındaki uyarıları atlamanın bir yolunu sağlayan bir güvenlik atlama kusurudur Saldırganın bu hatadan yararlanabilmesi için etkilenen sisteme yerel erişime ihtiyacı vardır Walters, hatanın sisteme ilk erişimi olan bir saldırganın işine yarayacak bir şey olduğunu belirtti

Abbasi, “Şu anda bu güvenlik açığı aktif saldırı altında, bu da kötü niyetli aktörler tarafından gerçek dünyada uygulanan bir uygulamaya işaret ediyor” diyor



Microsoft, Kasım 2023 güncellemesinde, üçü tehdit aktörlerinin aktif olarak kullandığı ve ikisi daha önce açıklanan ancak henüz istismar edilmeyen olmak üzere toplam 63 hataya yönelik düzeltmeler yayınladı Microsoft, Kasım güncellemelerinde geri kalan CVE’lerin dördü hariç hepsini orta veya önemli önemde olarak değerlendirdi Action1’in başkanı ve kurucu ortağı Mike Walters, “Bu güvenlik açığı, düşük karmaşıklıkla ve üst düzey ayrıcalıklara veya kullanıcı etkileşimine ihtiyaç duymadan yerel olarak kullanılabilir

Kritik Önem Düzeyindeki Hatalar

Kasım güncelleştirmesinde Microsoft’un kritik önemde olarak değerlendirdiği üç güvenlik açığı şunlardır: CVE-2023-36397, çok noktaya yayın verilerini taşımak için Windows Pragmatik Genel Çok Noktaya Yayın protokolünde bir uzaktan kod yürütme (RCE); CVE-2023-36400, Windows HMAC Anahtar Türetme özelliğinde ayrıcalık yükselmesi hatası; Ve CVE-2023-36052, Azure bileşenindeki bilgilerin açığa çıkması kusuru

Ancak Microsoft’un her aylık güncellemesinde olduğu gibi, en son sürümde de güvenlik uzmanlarının diğerlerinden daha fazla dikkat edilmesi gerektiği konusunda hemfikir olduğu bazı hatalar var ”

Automox’un CISO’su Jason Kitka da orta şiddette bir ayrıcalık yükselmesi güvenlik açığına dikkat çekti (CVE-2023-36422) güvenlik ekiplerinin göz ardı etmemesi gereken bir hata olarak Microsoft, güvenlik açığını orta veya önemli şiddette bir tehdit olarak değerlendirdi ancak sorunla ilgili nispeten az ayrıntı verdi Bu ayki güncelleme aynı zamanda son aylara kıyasla daha az (üç) kritik güvenlik açığı içeriyordu Hata, bir saldırganın düz metin kimlik bilgilerine (kullanıcı adları ve parolalar) erişmek için ortak komut satırı arayüzü komutlarını kullanmasına olanak tanıyor

Walters blog yazısında, uzaktaki bir saldırganın çok az karmaşıklıkla ve kullanıcı etkileşimi olmadan ağ üzerindeki güvenlik açığından yararlanabileceğini yazdı Gallagher, “Bu kimlik bilgileri büyük olasılıkla Azure DevOps veya GitHub dışındaki ortamlarda da kullanılabilir ve bu nedenle acil bir güvenlik riski oluşturur” diyor “Böyle bir tehdide karşı en etkili azaltma stratejisi, mevcut yamaları derhal uygulamak ve güncel olmalarını sağlamaktır” diye yazdı Blog yazısı ”

İki hata — CVE-2023-36038, ASP Kullanım çok az karmaşıklık, kullanıcı etkileşimi veya özel ayrıcalıklar gerektirir

Microsoft’un Kasım güncellemesindeki diğer sıfır gün hatası CVE-2023-36033Windows DWM Çekirdek Kitaplığı bileşenindeki bir ayrıcalık yükseltme güvenlik açığı “Fakat sömürü zor olmalı

Onlardan biri CVE-2023-36036Microsoft’un Windows Bulut Dosyaları Mini Filtre Sürücüsünde bulunan ve saldırganlara sistem düzeyinde ayrıcalıklar elde etme yolu sağlayan bir ayrıcalık yükseltme güvenlik açığı Yerel ağ erişimi gerektirecektir ve genellikle etkin değildir Aktif olarak yararlanılan üç sıfır gün hatası bu kategoriye uyuyor

Viakoo’daki Viakoo Laboratuvarları başkan yardımcısı John Gallagher, üç kritik hatadan CVE-2023-36052’nin muhtemelen kuruluşların öncelik vermesi gereken konu olduğunu söylüyor Abbasi, şu anda aktif saldırı altında ve özellikle kod yürütme hatasıyla birleştiğinde önemli bir risk oluşturuyor” dedi

SANS İnternet Fırtınası Merkezinde Blog yazısıSANS Teknoloji Enstitüsü araştırma dekanı Johannes Ullrich, Pragmatik Genel Çok Noktaya Yayındaki konunun izlenmesi gereken bir konu olduğuna dikkat çekti “Bu siber saldırıların kapsamlı kapsamı henüz tam olarak belirlenmemiş olsa da, tarihsel modeller bunların çoğunlukla küçük olaylarla başladığını ve giderek ölçeğinin arttığını gösteriyor “Yüksek CVSS derecesi ve aktif olarak kullanıldığı gerçeği göz önüne alındığında, bu durum CVE-2023-36025’i yamalama için öncelik verilmesi gereken güvenlik açıklarından biri haline getiriyor Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, hatayı, uzlaşma sonrası faaliyet açısından tehdit aktörlerinin ilgisini çekebilecek bir şey olarak tanımladı

Qualys güvenlik açığı ve tehdit araştırması yöneticisi Saeed Abbasi, Windows Bulut Dosyaları Mini Filtre Sürücüsünün, bulutta depolanan dosyaların Windows sistemlerinde çalışması için gerekli bir bileşen olduğunu söylüyor



siber-1

Kitka, Microsoft’un hatayı “Önemli” bir sorun olarak sınıflandırmasına rağmen, saldırganın bu güvenlik açığından yararlanarak sistem ayrıcalıkları kazanabilmesi nedeniyle ortaya çıkardığı tehdidin kritik olduğunu belirtti Walters, CVSS puanının maksimum 10 üzerinden 8,8 olduğu CVE-2023-36025’in kuruluşların dikkat etmesi gereken bir şey olduğunu ekledi

Ham sayılar açısından bakıldığında, Microsoft’un Kasım güncellemesi, 112 CVE için düzeltmeler içeren Ekim ayındaki güncellemeden önemli ölçüde daha küçük ” bir blog yazısında yazdı

Tenable’dan Narang’a göre bu, 2023’te vahşi ortamda istismar edilen üçüncü Windows SmartScreen sıfır gün güvenlik açığı ve son iki yılda dördüncü oldu

Saldırganların Aktif Olarak Suistimal Ettiği Sıfır Gün Üçlüsü

Her zaman olduğu gibi, kuruluşların en son hata dizisini düzeltmeye öncelik verme şekli çeşitli faktörlere bağlı olacaktır NET Core’u etkileyen bir hizmet reddi güvenlik açığı ve CVE-2023-36413, Microsoft Office’teki bir güvenlik özelliği atlama kusuru — Kasım Salı Yaması’ndan önce kamuya açıklandı ancak kullanılmadı