.png)
Uyarı: Microsoft, 5 Yeni Sıfır Gün Güvenlik Açığı için Yama Güncellemeleri Yayınladı
Microsoft, Kasım 2023 ayı için yazılımlarında, vahşi doğada aktif olarak istismar edilen üç güvenlik açığı da dahil olmak üzere 63 güvenlik hatasını gidermek için düzeltmeler yayınladı.
63 kusurdan üçü Kritik, 56'sı Önemli ve dördü Orta derecede derecelendirilmiştir. Bunlardan ikisi, piyasaya sürüldüğü sırada herkes tarafından biliniyor olarak listelenmiştir.
Güncellemeler, Ekim 2023 için Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında ele alınan 35'ten fazla güvenlik eksikliğine ek olarak yapıldı.
Dikkat edilmesi gereken beş sıfır gün aşağıdaki gibidir:
- CVE-2023-36025 (CVSS puanı: 8,8) - Windows SmartScreen Güvenlik Özelliği Atlama Güvenlik Açığı
- CVE-2023-36033 (CVSS puanı: 7,8) - Windows DWM Çekirdek Kitaplığı Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36036 (CVSS puanı: 7,8) - Windows Bulut Dosyaları Mini Filtre Sürücüsü Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-36038 (CVSS puanı: 8,2) - ASP.NET Temel Hizmet Reddi Güvenlik Açığı
- CVE-2023-36413 (CVSS puanı: 6,5) - Microsoft Office Güvenlik Özelliği Atlama Güvenlik Açığı
Hem CVE-2023-36033 hem de CVE-2023-36036, bir saldırgan tarafından SİSTEM ayrıcalıkları elde etmek için kullanılabilirken, CVE-2023-36025, Windows Defender SmartScreen kontrollerini ve bunlarla ilişkili istemleri atlamayı mümkün kılabilir.
"Kullanıcının özel hazırlanmış bir İnternet Kısayoluna tıklaması gerekir (. URL) veya saldırgan tarafından ele geçirilecek bir İnternet Kısayolu dosyasına işaret eden bir köprü," dedi Microsoft, CVE-2023-36025 hakkında.
CVE-2023-36025, 2023'te vahşi ortamda istismar edilen üçüncü Windows SmartScreen sıfır gün güvenlik açığı ve son iki yılda dördüncü güvenlik açığıdır. Aralık 2022'de Microsoft, CVE-2022-44698'e (CVSS puanı: 5.4) yama uygularken, CVE-2023-24880'e (CVSS puanı: 5.1) Mart ayında ve CVE-2023-32049'a (CVSS puanı: 8.8) Temmuz ayında yama uygulandı.
Ancak Windows üreticisi, kullanılan saldırı mekanizmaları ve bunları silahlandırabilecek tehdit aktörleri hakkında daha fazla rehberlik sağlamadı. Ancak ayrıcalık yükseltme kusurlarından etkin bir şekilde yararlanılması, bunların büyük olasılıkla bir uzaktan kod yürütme hatasıyla birlikte kullanıldığını göstermektedir.
Tenable'da kıdemli personel araştırma mühendisi olan Satnam Narang, The Hacker News ile paylaşılan bir açıklamada, "Son iki yılda DWM Çekirdek Kitaplığı'nda 12 ayrıcalık güvenlik açığı artışı oldu, ancak bu, vahşi doğada sıfır gün olarak istismar edilen ilk güvenlik açığı" dedi.
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) üç sorunu Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesine ve federal kurumları düzeltmeleri 5 Aralık 2023'e kadar uygulamaya çağırmasına neden oldu.
Ayrıca, Korumalı Genişletilebilir Kimlik Doğrulama Protokolü ve Pragmatik Genel Çok Noktaya Yayın'da (CVE-2023-36028 ve CVE-2023-36397, CVSS puanları: 9.8) bir tehdit aktörünün kötü amaçlı kodun yürütülmesini tetiklemek için kullanabileceği iki kritik uzaktan kod yürütme kusuru da Microsoft tarafından yamalanmıştır.
Kasım güncellemesi ayrıca CVE-2023-38545 (CVSS puanı: 9.8), curl kitaplığında geçen ay ortaya çıkan kritik bir yığın tabanlı arabellek taşması kusuru ve Azure CLI'da bir bilginin açığa çıkması güvenlik açığı (CVE-2023-36052, CVSS puanı: 8.6) için bir yama içeriyor.
Microsoft, "Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etkilenen CLI komutları tarafından oluşturulan ve Azure DevOps ve/veya GitHub Actions tarafından yayımlanan günlük dosyalarından düz metin parolaları ve kullanıcı adlarını kurtarabilir" dedi.
Sorunu bildiren Palo Alto Networks araştırmacısı Aviad Hahami, güvenlik açığının boru hattının günlüğünde depolanan kimlik bilgilerine erişim sağlayabileceğini ve bir saldırganın takip saldırıları için ayrıcalıklarını potansiyel olarak artırmasına izin verebileceğini söyledi.
Diğer Satıcılardan Yazılım Yamaları#
Microsoft'a ek olarak, aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için son birkaç hafta içinde diğer satıcılar tarafından güvenlik güncellemeleri de yayınlandı:
- Adobe
- AMD (including CacheWarp)
- Android
- Apache Projects
- Apple
- Aruba Networks
- Arm
- ASUS
- Atlassian
- Cisco
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Intel (including Reptar)
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
- MediaTek
- Mitsubishi Electric
- NETGEAR
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- SysAid
- Trend Micro
- Veeam
- Veritas
- VMware
- WordPress
- Zimbra
- Zoom, and
- Zyxel
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı