Microsoft Yaması Salı, Sıfır Günler ve Kurtulabilen Hataların Peşinde - Dünyadan Güncel Teknoloji Haberleri

Microsoft Yaması Salı, Sıfır Günler ve Kurtulabilen Hataların Peşinde - Dünyadan Güncel Teknoloji Haberleri

“Ağ tabanlı bir saldırı vektörüne sahipler, başarılı bir şekilde yararlanmak için yüksek düzeyde karmaşıklığa sahipler, herhangi bir özel ayrıcalık gerektirmiyorlar ve kullanıcı etkileşimi gerektirmiyorlar” dedi



Microsoft, Ekim ayının Salı Yaması güncellemesinde aktif saldırı altında olan ve Microsoft WordPad ve Skype Kurumsal’ı etkileyen iki sıfır gün güvenlik açığını işaretledi

Ayrıcalık yükselmesi güvenlik açığı Microsoft tarafından “önemli” olarak etiketlendi, çünkü bir tehdit aktörünün bunu kullanabilmesi için ağda zaten mevcut olması gerekiyordu, ancak CVSS 9

Ekim ayına uygun olarak, kritik dereceli güvenlik açıklarının sayısı şanssız bir şekilde 13’e ulaştı; ve özellikle de güncellemedeki düzeltmelerin tam %20’si Microsoft Messenger Queuing (MSMQ) ile ilgilidir Windows 11 kullanıcıları için bu, yeni bir Windows 11 şubesine yükseltme anlamına gelir Yamalar, Azure, ASP “Bu eylem, rastgele bir adrese gönderilen bir HTTP isteğinin ayrıştırılmasına ve potansiyel olarak IP adreslerinin ve bağlantı noktası numaralarının açığa çıkmasına yol açabilir Kimliği doğrulanmamış bir saldırgan bunu, Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) sunucusuna dikkatle hazırlanmış bir protokol mesajı göndererek başarabilir

20 Microsoft Mesaj Kuyruğa Alma Güvenlik Açıkları

Ayrıca bu ay siber güvenlik savunucularını ürküten tam 20 farklı MSMQ güvenlik açığı var ve bunlar birlikte Ekim ayı düzeltmelerinin çok büyük bir yüzdesini temsil ediyor Sürümde aynı zamanda, hassas sistemlerin yöneticilerine korku salabilecek, Mesaj Queuing’de kritik düzeyde, solucan oluşturabilen bir hata da yer alıyor Onlardan biri, CVE-2023-35349ayın en korkutucu (yani en şiddetli) meselesi olma özelliğini kazanıyor; CVSS kritik puanı 10 üzerinden 9,8’dir “Kurumsal bir ortamın MSMQ hizmetini Internet’te halka açık bir şekilde açığa çıkarması alışılmadık bir durum olarak kabul edilir… dolayısıyla bir saldırganın bir saldırıda bu güvenlik açığından yararlanmak için öncelikle hedef ağı başarılı bir şekilde kimlik avına tabi tuttuğunu ve bu güvenlik açığını keşfettiğini varsaymak mantıklıdır ”

Bu sırada, CVE-2023-41763 Skype Kurumsal’da yönetici rüyalarına girmeye hazır Hatadan başarıyla yararlanan bir saldırgan, etkilenen IIS sunucusunda başka bir kullanıcı olarak oturum açabilir Bu ikna, kullanıcıyı genellikle e-posta veya anlık mesaj yoluyla bir bağlantıya tıklamaya ikna etmeyi ve ardından onları özel hazırlanmış dosyayı açmaya ikna etmeyi içerebilir NET, Core ve Visual Studio dahil olmak üzere Microsoft portföyünün geniş bir yelpazesini çalıştırıyor; Değişim Sunucusu; Office, Microsoft Dynamics ve Windows “Bu, geliştiricilerin SQL Server da dahil olmak üzere hemen hemen her veri kaynağıyla iletişim kurabilen uygulamalar oluşturmasına olanak tanıyan WDAC’ın önemli bir öğesidir numaralandırma sırasında savunmasız hizmet Varsayılan olarak etkin değildir ancak Immersive Labs’ın baş güvenlik mühendisi Rob Reeves’e göre Microsoft Exchange Server kurulum sırasında bunu etkinleştirebilir

Walters, “Bir saldırgan, hedeflenen Skype Kurumsal sunucusuna özel hazırlanmış bir ağ çağrısı başlatarak bu güvenlik açığından yararlanabilir” dedi
Salı Yaması tavsiyesinde “SQL Server için Microsoft WDAC OLE DB Sağlayıcısı, Microsoft SQL Server veritabanlarından uç noktalara verimli veri erişimini kolaylaştırmak için tasarlanmış bir dizi bileşendir” dedi Bu bir ayrıcalık yükselmesi sorunu olarak listeleniyor, ancak Childs bunun bir bilgi ifşa sorunu olarak ele alınması gerektiğine dikkat çekti



siber-1

Gelecek hafta yayınlanmaları gerekiyor” dedi 8), Automox’un CISO’su ve kıdemli başkan yardımcısı Jason Kikta’nın dikkatini çekti

E-postayla gönderilen Patch Tuesday yorumunda, “Başarılı bir saldırının, saldırgana hedefte SİSTEM düzeyinde izinler vermesi veya çekirdekten yararlanmasına izin vermesi kuvvetle muhtemeldir” dedi

Action1’in başkanı ve kurucu ortağı Mike Walters, “Bu güvenlik açığından yararlanmak için bir saldırganın öncelikle sisteme erişim sağlaması gerekir” dedi “Ayrıca, DoS açığı sona erdiğinde sistemin otomatik olarak iyileşip iyileşmeyeceğini de not etmiyorlar “Daha sonra, güvenlik açığından yararlanmak ve etkilenen sistemin kontrolünü ele geçirmek için tasarlanmış özel hazırlanmış bir uygulamayı çalıştıracaklar Server 2012/2012 R2 için ESU’ya abone olmanız veya daha yeni bir sunucu sürümüne geçiş yapmanız önemle tavsiye edilir veri tabanı ”

Bu Ay Diğer Microsoft Bugbear’lara Öncelik Verilecek

Dikkat edilmesi gereken diğer güvenlik canavarlarına gelince, CVE-2023-36434 ZDI’dan Childs’a göre Windows IIS Sunucusu öne çıkıyor 8 derecelendirmesine sahip “IIS çalıştırıyorsanız, bunu kritik bir güncelleme olarak değerlendirmeli ve hızlı bir şekilde yama yapmalısınız Bu yıl çok sayıda Message Queuing hatası düzeltildi, bu nedenle riske maruz kalma durumunuzu belirlemek için kuruluşunuzu denetlemenin şimdi tam zamanı ”

Azaltma konusunda araştırmacı Dustin Childs, “Microsoft herhangi bir Önizleme Bölmesi vektörünü listelemiyor, bu nedenle kullanıcı etkileşimi gerekiyor” dedi ”

“Bu saldırılar, ortamı yalnızca güvenilir sunuculara bağlanacak şekilde yapılandırarak ve sertifika doğrulamayı zorunlu kılarak azaltılabilir

“Ömrünü tamamlamış yazılımlar kuruluş için risk oluşturur” diye uyardı

Childs, “Bugünlerde kaba kuvvet saldırıları kolayca otomatikleştirilebiliyor” dedi ”

Reeves, kullanıcıların hemen yama yapması gerektiğini, ancak güvenlik duvarı aracılığıyla TCP Bağlantı Noktası 1801’deki güvenilmeyen bağlantılardan gelen iletişimi engelleyerek de sorunu hafifletebileceklerini ekledi Ancak saldırganın açığa çıkan verileri değiştirmesine veya etkilenen kaynağa erişimi kısıtlamasına izin vermez “Bu yamayı uygulamanın yanı sıra, Windows 11’de SMB üzerinden giden NTLM’yi engellemeyi de düşünmelisiniz

E-postayla gönderilen yorumunda “İkincisi, Kasım sürümünden itibaren Genişletilmiş Güvenlik Desteğine (ESU) giriyor ve Microsoft ayrıca bu güncellemeleri etkinleştirmek için kullanılan anahtarların Azure Arc’ın bir parçası olarak yönetileceğini duyurdu ”

Bazı durumlarda iç ağlara erişim sağlayabilecek veriler de dahil olmak üzere bazı hassas bilgilerin ifşa edilebileceğini ekledi “

Bu ayki sürüm aynı zamanda yeni açıklanan HTTP/2 Hızlı Sıfırlama dağıtılmış hizmet reddi (DDoS) hatasına yönelik bir düzeltme ekinin yanı sıra Microsoft Edge’i etkileyen harici bir Chromium kusuruna yönelik bir düzeltme eki de içeriyor Bu yeni özellik çok fazla ilgi görmedi, ancak NTLM geçişi açıklarından yararlanmaları önemli ölçüde engelleyebilir

Ekim 2023 Aktif Suistimal Altındaki Hatalar

Tüyler ürpertici aktif istismar kampına düşen, vahşi doğada saldırıya uğrayan ilk sorun CVE-2023-36563WordPad kelime işlem programındaki, NTLM karmalarını açığa çıkararak NTLM aktarma saldırılarına kapı açabilen bir bilgi ifşa hatası “Bu işletim sistemi sürümleri için bundan sonra genel güncelleme mevcut olmayacak Trend Micro’nun Sıfır Gün Girişimi, bir blogda

“Microsoft, başarılı bir kullanımın hizmeti durdurup durdurmayacağını veya tüm sistemi mavi ekrana boğacağını belirtmiyor” dedi ”

Bu arada Action1’den Walters, Katman 2 Tünel Protokolünde, hepsinin CVSS puanı 8,1 olan dokuz RCE güvenlik açığından oluşan bir grubun altını çizdi (CVE-2023-41774, CVE-2023-41773, CVE-2023-41771, CVE-2023-41770, CVE-2023-41769, CVE-2023-41768, CVE-2023-41767, CVE-2023-41765Ve CVE-2023-38166) Ekim Yaması Salı yorumu ”

SQL Server için Microsoft Windows Veri Erişim Bileşenleri (WDAC) OLE DB sağlayıcısındaki bir RCE güvenlik açığı (CVE-2023-36577CVSS 8 ”
Ve son olarak Ivanti’nin güvenlik ürünlerinden sorumlu başkan yardımcısı Chris Goettl, Ekim Yaması Salı’nın Windows 11 21H2 ve Microsoft Server 2012/2012 R2 için son güncellemeleri içerdiğini belirtti Bu güvenlik açığı, bir saldırganın, kullanıcıyı kötü amaçlı bir yazılıma bağlanmaya ikna ederek hedeflenen sistemde rastgele kod yürütmesine olanak sağlayabilir

Childs, diğer MSMQ hatalarının, kullanıcı etkileşimi gerektiren RCE sorunları ile gerektirmeyen DoS kusurlarının bir karışımı olduğunu belirtti “Bunların kullanımı oldukça karmaşık… Bu güvenlik açıklarından başarılı bir şekilde yararlanmak için, bir saldırganın bir yarış koşulunu aşması gerekir ”

“Alternatif olarak, saldırgan yerel bir kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna edebilir

Bu iki hata, bilgisayar devinin bu ay ele aldığı toplam 103 CVE’den oluşan bir kadronun parçası

Hata, kullanıcı etkileşimi olmadan kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine (RCE) izin veriyor; bu da sorunun, Message Queuing’in etkin olduğu sistemlerde solucan olabileceği anlamına geliyor

MSMQ, birden fazla sunucu veya ana bilgisayardaki uygulamaların birbirleriyle iletişim kurmasına ve iletişimin gerektiği gibi saklanmasına ve kuyruğa alınmasına izin vermek için kullanılır