Ve son olarak Ivanti’nin güvenlik ürünlerinden sorumlu başkan yardımcısı Chris Goettl, Ekim Yaması Salı’nın Windows 11 21H2 ve Microsoft Server 2012/2012 R2 için son güncellemeleri içerdiğini belirtti Bu yeni özellik çok fazla ilgi görmedi, ancak NTLM geçişi açıklarından yararlanmaları önemli ölçüde engelleyebilir
Ayrıcalık yükselmesi güvenlik açığı Microsoft tarafından “önemli” olarak etiketlendi, çünkü bir tehdit aktörünün bunu kullanabilmesi için ağda zaten mevcut olması gerekiyordu, ancak CVSS 9 “Bunların kullanımı oldukça karmaşık… Bu güvenlik açıklarından başarılı bir şekilde yararlanmak için, bir saldırganın bir yarış koşulunu aşması gerekir
Childs, “Bugünlerde kaba kuvvet saldırıları kolayca otomatikleştirilebiliyor” dedi
Childs, diğer MSMQ hatalarının, kullanıcı etkileşimi gerektiren RCE sorunları ile gerektirmeyen DoS kusurlarının bir karışımı olduğunu belirtti
E-postayla gönderilen yorumunda “İkincisi, Kasım sürümünden itibaren Genişletilmiş Güvenlik Desteğine (ESU) giriyor ve Microsoft ayrıca bu güncellemeleri etkinleştirmek için kullanılan anahtarların Azure Arc’ın bir parçası olarak yönetileceğini duyurdu Varsayılan olarak etkin değildir ancak Immersive Labs’ın baş güvenlik mühendisi Rob Reeves’e göre Microsoft Exchange Server kurulum sırasında bunu etkinleştirebilir
“Ömrünü tamamlamış yazılımlar kuruluş için risk oluşturur” diye uyardı Trend Micro’nun Sıfır Gün Girişimi, bir blogda Sürümde aynı zamanda, hassas sistemlerin yöneticilerine korku salabilecek, Mesaj Queuing’de kritik düzeyde, solucan oluşturabilen bir hata da yer alıyor veri tabanı “Ayrıca, DoS açığı sona erdiğinde sistemin otomatik olarak iyileşip iyileşmeyeceğini de not etmiyorlar Onlardan biri, CVE-2023-35349ayın en korkutucu (yani en şiddetli) meselesi olma özelliğini kazanıyor; CVSS kritik puanı 10 üzerinden 9,8’dir “Bu yamayı uygulamanın yanı sıra, Windows 11’de SMB üzerinden giden NTLM’yi engellemeyi de düşünmelisiniz
“Ağ tabanlı bir saldırı vektörüne sahipler, başarılı bir şekilde yararlanmak için yüksek düzeyde karmaşıklığa sahipler, herhangi bir özel ayrıcalık gerektirmiyorlar ve kullanıcı etkileşimi gerektirmiyorlar” dedi Ancak saldırganın açığa çıkan verileri değiştirmesine veya etkilenen kaynağa erişimi kısıtlamasına izin vermez 8), Automox’un CISO’su ve kıdemli başkan yardımcısı Jason Kikta’nın dikkatini çekti 8 derecelendirmesine sahip ”
“Bu saldırılar, ortamı yalnızca güvenilir sunuculara bağlanacak şekilde yapılandırarak ve sertifika doğrulamayı zorunlu kılarak azaltılabilir “Kurumsal bir ortamın MSMQ hizmetini Internet’te halka açık bir şekilde açığa çıkarması alışılmadık bir durum olarak kabul edilir… dolayısıyla bir saldırganın bir saldırıda bu güvenlik açığından yararlanmak için öncelikle hedef ağı başarılı bir şekilde kimlik avına tabi tuttuğunu ve bu güvenlik açığını keşfettiğini varsaymak mantıklıdır “Bu eylem, rastgele bir adrese gönderilen bir HTTP isteğinin ayrıştırılmasına ve potansiyel olarak IP adreslerinin ve bağlantı noktası numaralarının açığa çıkmasına yol açabilir “Daha sonra, güvenlik açığından yararlanmak ve etkilenen sistemin kontrolünü ele geçirmek için tasarlanmış özel hazırlanmış bir uygulamayı çalıştıracaklar Yamalar, Azure, ASP
20 Microsoft Mesaj Kuyruğa Alma Güvenlik AçıklarıAyrıca bu ay siber güvenlik savunucularını ürküten tam 20 farklı MSMQ güvenlik açığı var ve bunlar birlikte Ekim ayı düzeltmelerinin çok büyük bir yüzdesini temsil ediyor ”
Azaltma konusunda araştırmacı Dustin Childs, “Microsoft herhangi bir Önizleme Bölmesi vektörünü listelemiyor, bu nedenle kullanıcı etkileşimi gerekiyor” dedi
Bu iki hata, bilgisayar devinin bu ay ele aldığı toplam 103 CVE’den oluşan bir kadronun parçası “Bu, geliştiricilerin SQL Server da dahil olmak üzere hemen hemen her veri kaynağıyla iletişim kurabilen uygulamalar oluşturmasına olanak tanıyan WDAC’ın önemli bir öğesidir NET, Core ve Visual Studio dahil olmak üzere Microsoft portföyünün geniş bir yelpazesini çalıştırıyor; Değişim Sunucusu; Office, Microsoft Dynamics ve Windows “
Bu ayki sürüm aynı zamanda yeni açıklanan HTTP/2 Hızlı Sıfırlama dağıtılmış hizmet reddi (DDoS) hatasına yönelik bir düzeltme ekinin yanı sıra Microsoft Edge’i etkileyen harici bir Chromium kusuruna yönelik bir düzeltme eki de içeriyor ”
Bu sırada, CVE-2023-41763 Skype Kurumsal’da yönetici rüyalarına girmeye hazır Server 2012/2012 R2 için ESU’ya abone olmanız veya daha yeni bir sunucu sürümüne geçiş yapmanız önemle tavsiye edilir
Ekim 2023 Aktif Suistimal Altındaki HatalarTüyler ürpertici aktif istismar kampına düşen, vahşi doğada saldırıya uğrayan ilk sorun CVE-2023-36563WordPad kelime işlem programındaki, NTLM karmalarını açığa çıkararak NTLM aktarma saldırılarına kapı açabilen bir bilgi ifşa hatası
E-postayla gönderilen Patch Tuesday yorumunda, “Başarılı bir saldırının, saldırgana hedefte SİSTEM düzeyinde izinler vermesi veya çekirdekten yararlanmasına izin vermesi kuvvetle muhtemeldir” dedi
MSMQ, birden fazla sunucu veya ana bilgisayardaki uygulamaların birbirleriyle iletişim kurmasına ve iletişimin gerektiği gibi saklanmasına ve kuyruğa alınmasına izin vermek için kullanılır ”
Bu Ay Diğer Microsoft Bugbear’lara Öncelik VerilecekDikkat edilmesi gereken diğer güvenlik canavarlarına gelince, CVE-2023-36434 ZDI’dan Childs’a göre Windows IIS Sunucusu öne çıkıyor
“Microsoft, başarılı bir kullanımın hizmeti durdurup durdurmayacağını veya tüm sistemi mavi ekrana boğacağını belirtmiyor” dedi
Hata, kullanıcı etkileşimi olmadan kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine (RCE) izin veriyor; bu da sorunun, Message Queuing’in etkin olduğu sistemlerde solucan olabileceği anlamına geliyor Gelecek hafta yayınlanmaları gerekiyor” dedi
Walters, “Bir saldırgan, hedeflenen Skype Kurumsal sunucusuna özel hazırlanmış bir ağ çağrısı başlatarak bu güvenlik açığından yararlanabilir” dedi ”
Reeves, kullanıcıların hemen yama yapması gerektiğini, ancak güvenlik duvarı aracılığıyla TCP Bağlantı Noktası 1801’deki güvenilmeyen bağlantılardan gelen iletişimi engelleyerek de sorunu hafifletebileceklerini ekledi Bu yıl çok sayıda Message Queuing hatası düzeltildi, bu nedenle riske maruz kalma durumunuzu belirlemek için kuruluşunuzu denetlemenin şimdi tam zamanı Bu güvenlik açığı, bir saldırganın, kullanıcıyı kötü amaçlı bir yazılıma bağlanmaya ikna ederek hedeflenen sistemde rastgele kod yürütmesine olanak sağlayabilir Windows 11 kullanıcıları için bu, yeni bir Windows 11 şubesine yükseltme anlamına gelir
siber-1
“Alternatif olarak, saldırgan yerel bir kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna edebilir Bu bir ayrıcalık yükselmesi sorunu olarak listeleniyor, ancak Childs bunun bir bilgi ifşa sorunu olarak ele alınması gerektiğine dikkat çekti ”
Bu arada Action1’den Walters, Katman 2 Tünel Protokolünde, hepsinin CVSS puanı 8,1 olan dokuz RCE güvenlik açığından oluşan bir grubun altını çizdi (CVE-2023-41774, CVE-2023-41773, CVE-2023-41771, CVE-2023-41770, CVE-2023-41769, CVE-2023-41768, CVE-2023-41767, CVE-2023-41765Ve CVE-2023-38166) Bu ikna, kullanıcıyı genellikle e-posta veya anlık mesaj yoluyla bir bağlantıya tıklamaya ikna etmeyi ve ardından onları özel hazırlanmış dosyayı açmaya ikna etmeyi içerebilir ”
SQL Server için Microsoft Windows Veri Erişim Bileşenleri (WDAC) OLE DB sağlayıcısındaki bir RCE güvenlik açığı (CVE-2023-36577CVSS 8
Ekim ayına uygun olarak, kritik dereceli güvenlik açıklarının sayısı şanssız bir şekilde 13’e ulaştı; ve özellikle de güncellemedeki düzeltmelerin tam %20’si Microsoft Messenger Queuing (MSMQ) ile ilgilidir
Action1’in başkanı ve kurucu ortağı Mike Walters, “Bu güvenlik açığından yararlanmak için bir saldırganın öncelikle sisteme erişim sağlaması gerekir” dedi
Salı Yaması tavsiyesinde “SQL Server için Microsoft WDAC OLE DB Sağlayıcısı, Microsoft SQL Server veritabanlarından uç noktalara verimli veri erişimini kolaylaştırmak için tasarlanmış bir dizi bileşendir” dedi
Microsoft, Ekim ayının Salı Yaması güncellemesinde aktif saldırı altında olan ve Microsoft WordPad ve Skype Kurumsal’ı etkileyen iki sıfır gün güvenlik açığını işaretledi ”
Bazı durumlarda iç ağlara erişim sağlayabilecek veriler de dahil olmak üzere bazı hassas bilgilerin ifşa edilebileceğini ekledi Hatadan başarıyla yararlanan bir saldırgan, etkilenen IIS sunucusunda başka bir kullanıcı olarak oturum açabilir