Uyarı: Microsoft, 5 Yeni Sıfır Gün Güvenlik Açığı için Yama Güncellemeleri Yayınladı
Microsoft, Kasım 2023 ayı için yazılımlarında, vahşi doğada aktif olarak istismar edilen üç güvenlik açığı da dahil olmak üzere 63 güvenlik hatasını gidermek için düzeltmeler yayınladı.
63 kusurdan üçü Kritik, 56'sı Önemli ve dördü Orta derecede derecelendirilmiştir. Bunlardan ikisi, piyasaya sürüldüğü sırada herkes tarafından biliniyor olarak listelenmiştir.
Güncellemeler, Ekim 2023 için Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında ele alınan 35'ten fazla güvenlik eksikliğine ek olarak yapıldı.
Dikkat edilmesi gereken beş sıfır gün aşağıdaki gibidir:
- CVE-2023-36025 (CVSS puanı: 8,8) - Windows SmartScreen Güvenlik Özelliği Atlama Güvenlik Açığı
- CVE-2023-36033 (CVSS puanı: 7,8) - Windows DWM Çekirdek Kitaplığı Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36036 (CVSS puanı: 7,8) - Windows Bulut Dosyaları Mini Filtre Sürücüsü Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36038 (CVSS puanı: 8,2) - ASP.NET Temel Hizmet Reddi Güvenlik Açığı
- CVE-2023-36413 (CVSS puanı: 6,5) - Microsoft Office Güvenlik Özelliği Atlama Güvenlik Açığı
Hem CVE-2023-36033 hem de CVE-2023-36036, bir saldırgan tarafından SİSTEM ayrıcalıkları elde etmek için kullanılabilirken, CVE-2023-36025, Windows Defender SmartScreen kontrollerini ve bunlarla ilişkili istemleri atlamayı mümkün kılabilir.
"Kullanıcının özel hazırlanmış bir İnternet Kısayoluna tıklaması gerekir (. URL) veya saldırgan tarafından ele geçirilecek bir İnternet Kısayolu dosyasına işaret eden bir köprü," dedi Microsoft, CVE-2023-36025 hakkında.
CVE-2023-36025, 2023'te vahşi ortamda istismar edilen üçüncü Windows SmartScreen sıfır gün güvenlik açığı ve son iki yılda dördüncü güvenlik açığıdır. Aralık 2022'de Microsoft, CVE-2022-44698'e (CVSS puanı: 5.4) yama uygularken, CVE-2023-24880'e (CVSS puanı: 5.1) Mart ayında ve CVE-2023-32049'a (CVSS puanı: 8.8) Temmuz ayında yama uygulandı.
Ancak Windows üreticisi, kullanılan saldırı mekanizmaları ve bunları silahlandırabilecek tehdit aktörleri hakkında daha fazla rehberlik sağlamadı. Ancak ayrıcalık yükseltme kusurlarından etkin bir şekilde yararlanılması, bunların büyük olasılıkla bir uzaktan kod yürütme hatasıyla birlikte kullanıldığını göstermektedir.
Tenable'da kıdemli personel araştırma mühendisi olan Satnam Narang, The Hacker News ile paylaşılan bir açıklamada, "Son iki yılda DWM Çekirdek Kitaplığı'nda 12 ayrıcalık güvenlik açığı artışı oldu, ancak bu, vahşi doğada sıfır gün olarak istismar edilen ilk güvenlik açığı" dedi.
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) üç sorunu Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesine ve federal kurumları düzeltmeleri 5 Aralık 2023'e kadar uygulamaya çağırmasına neden oldu.
Ayrıca, Korumalı Genişletilebilir Kimlik Doğrulama Protokolü ve Pragmatik Genel Çok Noktaya Yayın'da (CVE-2023-36028 ve CVE-2023-36397, CVSS puanları: 9.8) bir tehdit aktörünün kötü amaçlı kodun yürütülmesini tetiklemek için kullanabileceği iki kritik uzaktan kod yürütme kusuru da Microsoft tarafından yamalanmıştır.
Kasım güncellemesi ayrıca CVE-2023-38545 (CVSS puanı: 9.8), curl kitaplığında geçen ay ortaya çıkan kritik bir yığın tabanlı arabellek taşması kusuru ve Azure CLI'da bir bilginin açığa çıkması güvenlik açığı (CVE-2023-36052, CVSS puanı: 8.6) için bir yama içeriyor.
Microsoft, "Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etkilenen CLI komutları tarafından oluşturulan ve Azure DevOps ve/veya GitHub Actions tarafından yayımlanan günlük dosyalarından düz metin parolaları ve kullanıcı adlarını kurtarabilir" dedi.
Sorunu bildiren Palo Alto Networks araştırmacısı Aviad Hahami, güvenlik açığının boru hattının günlüğünde depolanan kimlik bilgilerine erişim sağlayabileceğini ve bir saldırganın takip saldırıları için ayrıcalıklarını potansiyel olarak artırmasına izin verebileceğini söyledi.
Diğer Satıcılardan Yazılım Yamaları#
Microsoft'a ek olarak, aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için son birkaç hafta içinde diğer satıcılar tarafından güvenlik güncellemeleri de yayınlandı:
- Adobe
- AMD (including CacheWarp)
- Android
- Apache Projects
- Apple
- Aruba Networks
- Arm
- ASUS
- Atlassian
- Cisco
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Intel (including Reptar)
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
- MediaTek
- Mitsubishi Electric
- NETGEAR
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- SysAid
- Trend Micro
- Veeam
- Veritas
- VMware
- WordPress
- Zimbra
- Zoom, and
- Zyxel
Benzer Haberler
Yeni Intel CPU Güvenlik Açığı 'Indirector' Hassas Verileri Açığa Çıkarıyor
Google, Kasım 2024'ten İtibaren Chrome'da Entrust Sertifikalarını Engelleyecek
Yeni SnailLoad Saldırısı, Kullanıcıların Web Etkinliklerini Casusluk Etmek İçin Ağ Gecikmesinden Yararlanıyor
Fortra FileCatalyst İş Akışı Uygulamasında Kritik SQLi Güvenlik Açığı Bulundu
Apple, gizli dinlemeye izin verebilecek AirPods Bluetooth güvenlik açığını yamaladı
Yeni Kredi Kartı Skimmer WordPress, Magento ve OpenCart Sitelerini Hedefliyor
Yeni Saldırı Tekniği Microsoft Yönetim Konsolu Dosyalarından Yararlanıyor
Birden Fazla WordPress Eklentisi Ele Geçirildi: Bilgisayar Korsanları Sahte Yönetici Hesapları Oluşturuyor