Uyarı: Microsoft, 5 Yeni Sıfır Gün Güvenlik Açığı için Yama Güncellemeleri Yayınladı
Microsoft, Kasım 2023 ayı için yazılımlarında, vahşi doğada aktif olarak istismar edilen üç güvenlik açığı da dahil olmak üzere 63 güvenlik hatasını gidermek için düzeltmeler yayınladı.
63 kusurdan üçü Kritik, 56'sı Önemli ve dördü Orta derecede derecelendirilmiştir. Bunlardan ikisi, piyasaya sürüldüğü sırada herkes tarafından biliniyor olarak listelenmiştir.
Güncellemeler, Ekim 2023 için Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında ele alınan 35'ten fazla güvenlik eksikliğine ek olarak yapıldı.
Dikkat edilmesi gereken beş sıfır gün aşağıdaki gibidir:
- CVE-2023-36025 (CVSS puanı: 8,8) - Windows SmartScreen Güvenlik Özelliği Atlama Güvenlik Açığı
- CVE-2023-36033 (CVSS puanı: 7,8) - Windows DWM Çekirdek Kitaplığı Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36036 (CVSS puanı: 7,8) - Windows Bulut Dosyaları Mini Filtre Sürücüsü Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36038 (CVSS puanı: 8,2) - ASP.NET Temel Hizmet Reddi Güvenlik Açığı
- CVE-2023-36413 (CVSS puanı: 6,5) - Microsoft Office Güvenlik Özelliği Atlama Güvenlik Açığı
Hem CVE-2023-36033 hem de CVE-2023-36036, bir saldırgan tarafından SİSTEM ayrıcalıkları elde etmek için kullanılabilirken, CVE-2023-36025, Windows Defender SmartScreen kontrollerini ve bunlarla ilişkili istemleri atlamayı mümkün kılabilir.
"Kullanıcının özel hazırlanmış bir İnternet Kısayoluna tıklaması gerekir (. URL) veya saldırgan tarafından ele geçirilecek bir İnternet Kısayolu dosyasına işaret eden bir köprü," dedi Microsoft, CVE-2023-36025 hakkında.
CVE-2023-36025, 2023'te vahşi ortamda istismar edilen üçüncü Windows SmartScreen sıfır gün güvenlik açığı ve son iki yılda dördüncü güvenlik açığıdır. Aralık 2022'de Microsoft, CVE-2022-44698'e (CVSS puanı: 5.4) yama uygularken, CVE-2023-24880'e (CVSS puanı: 5.1) Mart ayında ve CVE-2023-32049'a (CVSS puanı: 8.8) Temmuz ayında yama uygulandı.
Ancak Windows üreticisi, kullanılan saldırı mekanizmaları ve bunları silahlandırabilecek tehdit aktörleri hakkında daha fazla rehberlik sağlamadı. Ancak ayrıcalık yükseltme kusurlarından etkin bir şekilde yararlanılması, bunların büyük olasılıkla bir uzaktan kod yürütme hatasıyla birlikte kullanıldığını göstermektedir.
Tenable'da kıdemli personel araştırma mühendisi olan Satnam Narang, The Hacker News ile paylaşılan bir açıklamada, "Son iki yılda DWM Çekirdek Kitaplığı'nda 12 ayrıcalık güvenlik açığı artışı oldu, ancak bu, vahşi doğada sıfır gün olarak istismar edilen ilk güvenlik açığı" dedi.
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) üç sorunu Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesine ve federal kurumları düzeltmeleri 5 Aralık 2023'e kadar uygulamaya çağırmasına neden oldu.
Ayrıca, Korumalı Genişletilebilir Kimlik Doğrulama Protokolü ve Pragmatik Genel Çok Noktaya Yayın'da (CVE-2023-36028 ve CVE-2023-36397, CVSS puanları: 9.8) bir tehdit aktörünün kötü amaçlı kodun yürütülmesini tetiklemek için kullanabileceği iki kritik uzaktan kod yürütme kusuru da Microsoft tarafından yamalanmıştır.
Kasım güncellemesi ayrıca CVE-2023-38545 (CVSS puanı: 9.8), curl kitaplığında geçen ay ortaya çıkan kritik bir yığın tabanlı arabellek taşması kusuru ve Azure CLI'da bir bilginin açığa çıkması güvenlik açığı (CVE-2023-36052, CVSS puanı: 8.6) için bir yama içeriyor.
Microsoft, "Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etkilenen CLI komutları tarafından oluşturulan ve Azure DevOps ve/veya GitHub Actions tarafından yayımlanan günlük dosyalarından düz metin parolaları ve kullanıcı adlarını kurtarabilir" dedi.
Sorunu bildiren Palo Alto Networks araştırmacısı Aviad Hahami, güvenlik açığının boru hattının günlüğünde depolanan kimlik bilgilerine erişim sağlayabileceğini ve bir saldırganın takip saldırıları için ayrıcalıklarını potansiyel olarak artırmasına izin verebileceğini söyledi.
Diğer Satıcılardan Yazılım Yamaları#
Microsoft'a ek olarak, aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için son birkaç hafta içinde diğer satıcılar tarafından güvenlik güncellemeleri de yayınlandı:
- Adobe
- AMD (including CacheWarp)
- Android
- Apache Projects
- Apple
- Aruba Networks
- Arm
- ASUS
- Atlassian
- Cisco
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Intel (including Reptar)
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
- MediaTek
- Mitsubishi Electric
- NETGEAR
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- SysAid
- Trend Micro
- Veeam
- Veritas
- VMware
- WordPress
- Zimbra
- Zoom, and
- Zyxel
0 Yorum
Yorum Gönder
Benzer Haberler
Pwn2Own Ireland 2024'te 1 Milyon Doların Üzerinde Ödeme Yapıldı
Araştırmacılar Wi-Fi Alliance'ın Test Paketinde Komut Enjeksiyon Kusurunu Keşfetti
AWS Cloud Development Kit Güvenlik Açığı, Kullanıcıları Potansiyel Hesap Ele Geçirme Risklerine Maruz Bırakır
Cisco, Aktif Saldırı Altında ASA ve FTD Yazılım Güvenlik Açığı için Acil Düzeltme Yayınladı
Fortinet, Aktif Sömürü Altında FortiManager'daki Kritik Güvenlik Açığı Konusunda Uyardı
CISA, Microsoft SharePoint Güvenlik Açığından Aktif Olarak Yararlanıldığına Karşı Uyardı (CVE-2024-38094)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
VMware, Kritik RCE Güvenlik Açığını Düzeltmek için vCenter Server Güncellemesini Yayınladı