Microsoft, 6’sı Aktif Saldırı Altında Dahil Olmak Üzere 132 Güvenlik Açığı İçin Yama Yayınladı

Microsoft, Salı günü, yazılımlarını kapsayan toplamda 132 yeni güvenlik açığını gidermek için güncellemeler yayınladı. Bunların arasında aktif olarak kullanılan altı adet sıfır gün açığı da bulunmaktadır.

132 açıktan dokuzu “Kritik” olarak derecelendirilirken, 122’si “Önemli” olarak derecelendirilmiş ve bir tanesi ise “Hiçbiri” derecesine sahip olarak belirlenmiştir. Bu, teknoloji devi tarafından geçen ay sonunda Chromium tabanlı Edge tarayıcısında düzeltildiği üzere sekiz açığı daha eklemektedir.

Aktif olarak kötüye kullanılan sorunların listesi aşağıdaki gibidir:

CVE-2023-32046 (CVSS puanı: 7.8) – Windows MSHTML Platformu Ayrıcalık Yükseltme Açığı
CVE-2023-32049 (CVSS puanı: 8.8) – Windows SmartScreen Güvenlik Özelliği Atlama Açığı
CVE-2023-35311 (CVSS puanı: 8.8) – Microsoft Outlook Güvenlik Özelliği Atlama Açığı
CVE-2023-36874 (CVSS puanı: 7.8) – Windows Hata Raporlama Servisi Ayrıcalık Yükseltme Açığı
CVE-2023-36884 (CVSS puanı: 8.3) – Ofis ve Windows HTML Uzaktan Kod Yürütme Açığı (Aynı zamanda yayınlanma zamanında kamuoyunda da bilinmektedir)
ADV230001 – Post-exploitasyon etkinlikleri için Microsoft imzalı sürücülerin kötüye kullanımı (CVE atanmadı)
Windows üreticisi, Ukrayna Dünya Kongresi ile ilgili özel olarak hazırlanmış Microsoft Office belge tuzağına dayanan CVE-2023-36884’ü kötüye kullanma girişiminde bulunan hedef savunma ve hükümet kurumlarına yönelik hedeflenmiş saldırıların Avrupa ve Kuzey Amerika’da meydana geldiğini belirtti. Bu sonuçlar, BlackBerry’nin en son bulgularını yansıtmaktadır.

“Bir saldırgan, kurbanın bağlamında uzaktan kod yürütme yapmasına izin veren özel olarak hazırlanmış bir Microsoft Office belgesi oluşturabilir,” şeklinde açıklama yapan Microsoft, “Ancak, bir saldırganın kurbanı tehlikeli dosyayı açmaya ikna etmesi gerekmektedir.”

Şirket, saldırı kampanyasını Storm-0978 olarak takip ettiği ve aynı zamanda RomCom, Tropical Scorpius, UNC2596 ve Void Rabisu gibi isimlerle de bilinen bir Rus siber suçlu grubuna bildirdi.

“Oyuncu ayrıca Underground fidye yazılımını da kullanıyor, bu da ilk kez Mayıs 2022’de doğada gözlemlenen Endüstriyel Casus fidye yazılımıyla yakından ilişkilidir,” diye açıkladı Microsoft Tehdit İstihbarat ekibi. “Saldırganın Haziran 2023’te tespit edilen son kampanyası, RomCom’a benzerlikler gösteren bir arka kapıyı CVE-2023-36884’ü kötüye kullanarak teslim etmekle ilgilidir.”

Oyuncu tarafından gerçekleştirilen son phishing saldırıları, Doğu Avrupa ve Kuzey Amerika’daki çeşitli Ukraynalı ve Ukrayna yanlısı hedeflere karşı RomCom RAT adlı bir uzak erişim truva atının dağıtımı için benzerlik gösteren web sitelerine barındırılan hileli yazılımlı sürümler kullanmayı içermiştir.

RomCom, başlangıçta Küba fidye yazılımı ile ilişkili bir grup olarak belirlendi, ancak o zamandan beri Endüstriyel Casus gibi başka fidye yazılımı türleriyle ve 2023 Temmuz itibarıyla Underground adlı yeni bir varyantla ilişkilendirildi, ki bu Industry Spy ile kayda değer kaynak kodu örtüşmelerine sahiptir.

Microsoft, kullanıcıları potansiyel tehditleri en aza indirmek için güncellemeleri hızlı bir şekilde uygulamaları konusunda tavsiyede bulunurken, CVE-2023-36884 için yama olmadığı durumda, “Blokaj” tüm Office uygulamalarının alt süreç oluşturmasını engelleme” saldırı yüzeyi azaltma (ASR) kuralını kullanmalarını önermektedir.

Redmond ayrıca, Windows politika açığından faydalanarak 2015 yılı 29 Temmuz’dan önce sürücülerin imzalama tarihini değiştirmek için HookSignTool ve FuckCertVerifyTimeValidity gibi açık kaynaklı araçları kullanarak kompromize edilen sistemlere kötü amaçlı çekirdek modu sürücülerinin imzalama ve kurulumunda kullanılan kod imzalama sertifikalarını iptal etti.

Bu bulgular, kötü amaçlı çekirdek modu sürücülerinin tehdit aktörleri arasında giderek yaygınlaştığını göstermektedir çünkü bunlar Windows üzerinde en yüksek ayrıcalık seviyesinde çalışır, böylece uzun süreli kalıcılık sağlamak ve aynı zamanda güvenlik yazılımlarının çalışmasını engellemek için etkili olurlar. Diğer açıkların nasıl kötüye kullanıldığı ve bu saldırıların ne kadar yayıldığı şu anda net değildir. Ancak aktif kötüye kullanım göz önüne alındığında, kullanıcıların potansiyel tehd

itleri azaltmak için güncellemeleri hızlı bir şekilde uygulamaları önerilmektedir.

Diğer Üreticilerden Yazılım Güncellemeleri#
Microsoft’a ek olarak, son birkaç hafta içinde çeşitli zafiyetleri düzeltmek için diğer üreticiler tarafından da güvenlik güncellemeleri yayınlandı. Bu üreticiler arasında şunlar bulunmaktadır:

Adobe
AMD
Android
Apache Projeleri
Apple (daha sonra geri çekildi)
Aruba Networks
Cisco
Citrix
CODESYS
Dell
Drupal
F5
Fortinet
GitLab
Google Chrome
Hitachi Energy
HP
IBM
Juniper Networks
Lenovo
Debian, Oracle Linux, Red Hat, SUSE ve Ubuntu gibi Linux dağıtımları
MediaTek
Mitsubishi Electric
Mozilla Firefox, Firefox ESR ve Thunderbird
NETGEAR
NVIDIA
Progress MOVEit Transfer
Qualcomm
Samsung
SAP
Schneider Electric
Siemens
Synology
VMware
Zoom ve
Zyxel

About The Author

Reply