Haberi Sesli dinle
Getting your Trinity Audio player ready... |
Microsoft bugün, Mart Yaması Salı günü için yaklaşık 80 güvenlik açığını gidermek üzere bir dizi güncelleme yayınladı.
Başlangıç olarak, Windows 10 yamaları KB5023696 ve KB5023697, Windows 10 sürüm 22H2, 21H2, 21H1, 1809 ve 1607’nin yanı sıra Windows Server 2016’daki sistem ve güvenlik sorunlarını ele almaktadır. Bunlar isteğe bağlı olmayan güncellemeler olarak dağıtılmaktadır ve Windows Update aracılığıyla otomatik olarak yüklenecektir (değiştirilmiş veya kilitlenmiş bir yükleme çalıştırmadığınız sürece). Windows 10 1507 de benzer şekilde güvenlik düzeltmelerinin yanı sıra Excel’deki köprüleri ele alan KB5023713 adlı küçük bir yama aldı.
Microsoft bugün ayrıca Nisan 2022’ye kadar aktif olarak istismar edilen iki kritik sıfır gün güvenlik açığı için düzeltmeler yayınladı. İstismar edilen iki güvenlik açığı CVE-2023-23397 ve CVE-2023-24880’dir. CVE-2023-23397, bir hedefin cihazını uzak URL’lere bağlanmaya ve Windows hesabının Net-NTLMv2 karmasını iletmeye zorlayabilen özel e-postaların hazırlanmasına izin veren yükseltilmiş bir ayrıcalık saldırısıdır. CVE-2023-24880, Windows Mark of the Web güvenlik uyarısını atlayan yürütülebilir dosyalar oluşturmak için istismar edilebilen bir Windows SmartScreen güvenlik açığıdır.
Microsoft CVE-2023-23397 için şunları belirtmektedir:
“CVE-2023-23397, Microsoft Outlook’ta bir saldırganın tehdit aktörü tarafından kontrol edilen bir sunucudaki SMB (TCP 445) paylaşımına UNC yolu içeren genişletilmiş MAPI özelliğine sahip bir ileti göndermesiyle tetiklenen kritik bir EoP güvenlik açığıdır. Kullanıcı etkileşimi gerekmez. Uzak SMB sunucusuna bağlantı, kullanıcının NTLM anlaşma mesajını gönderir ve saldırgan bu mesajı NTLM kimlik doğrulamasını destekleyen diğer sistemlere karşı kimlik doğrulaması için aktarabilir. Dış saldırganlar, kurbandan saldırganların kontrolündeki harici bir UNC konumuna bağlantı kurulmasına neden olacak özel olarak hazırlanmış e-postalar gönderebilir. Bu, kurbanın Net-NTLMv2 karmasını saldırgana sızdıracak ve saldırgan da bunu başka bir hizmete aktararak kurban olarak kimlik doğrulaması yapabilecektir.”
CVE-2023-23397 ilk olarak CERT-UA (Computer Emergency Response Team of Ukraine) tarafından işaretlenmiş ve CERT-UA, Microsoft Incident ve Microsoft Threat Intelligence tarafından ifşa edilmiştir. İfşaatta ikincisi şunları belirtmektedir:
“Microsoft Tehdit İstihbaratı, Rusya merkezli bir tehdit aktörünün CVE-2023-23397’de yamalanan açığı Avrupa’da hükümet, ulaşım, enerji ve askeri sektörlerdeki sınırlı sayıda kuruluşa yönelik hedefli saldırılarda kullandığını değerlendirmektedir.”
Raporda ayrıca açığın Windows için Microsoft Outlook’un tüm sürümlerini etkilediği, ancak çevrimiçi hizmetler NTLM kimlik doğrulamasını kullanmadığından Mac için Outlook, iOS, Android veya web’deki Outlook’u etkilemediği belirtiliyor. Microsoft, kuruluşların saldırı tarafından hedef alınıp alınmadıklarını kontrol etmelerini sağlayan bir komut dosyası yayınladı.
CVE-2023-24880 ile ilgili olarak Google Tehdit Analiz Grubu’ndan araştırmacılar Benoît Sevens ve Vlad Stolyarov ile Microsoft şunları paylaşıyor
“İnternetten bir dosya indirdiğinizde, Windows bölge tanımlayıcısını ya da Mark of the Web’i (MOTW) dosyaya NTFS akışı olarak ekler. Dolayısıyla, dosyayı çalıştırdığınızda, Windows SmartScreen dosyaya eklenmiş bir bölge tanımlayıcı Alternatif Veri Akışı (ADS) olup olmadığını kontrol eder. ADS, dosyanın internetten indirildiği anlamına gelen ZoneId=3’ü gösteriyorsa, SmartScreen bir itibar denetimi yapar.
Saldırganlar, geçersiz ancak özel olarak hazırlanmış bir Authenticode imzasıyla imzalanmış MSI dosyaları sunmaktadır. Hatalı biçimlendirilmiş imza, SmartScreen’in bir hata döndürmesine neden oluyor ve bu da güvenilmeyen bir dosya, potansiyel olarak kötü niyetli bir dosyanın internetten indirildiğini gösteren bir Web İşareti (MotW) içerdiğinde kullanıcılara gösterilen güvenlik uyarı iletişim kutusunun atlanmasıyla sonuçlanıyor. TAG, Ocak 2023’ten bu yana kötü niyetli MSI dosyalarının 100.000’den fazla indirildiğini ve bunların %80’inden fazlasının Avrupa’daki kullanıcılara gittiğini gözlemlemiştir – bu da Magniber’in genellikle Güney Kore ve Tayvan’a odaklanan tipik hedeflemesinden dikkate değer bir sapmadır.”
Mart 2023 için açıklanan güvenlik düzeltmelerinin tam ayrıntılı raporuna buradan göz atabilirsiniz. Okuması pek de kolay değil.
Kaynak: BleepingComputer
