Temmuz 2023 Patch: Microsoft 6 zero-days ve 132 açık konusunda uyarıyor

Microsoft’un Temmuz 2023 Yaması, altmış altı aktif olarak istismar edilen ve otuz yedi uzaktan kod yürütme güvenlik açığı da dahil olmak üzere toplam 132 hatayı düzeltmek için güvenlik güncellemelerini içermektedir.

Otuz yedi RCE (Uzaktan Kod Yürütme) hatası düzeltildi, ancak Microsoft bunlardan yalnızca dokuzunu ‘Kritik’ olarak değerlendirdi. Bununla birlikte, RCE hatasından biri düzeltilmedi ve birçok siber güvenlik şirketi tarafından saldırıya uğradığı tespit edildi.

Her güvenlik açığı kategorisindeki hata sayıları aşağıda listelenmiştir:

33 Ayrıcalık Yükseltme Güvenlik Açığı 13 Güvenlik Özelliği Atlatma Güvenlik Açığı 37 Uzaktan Kod Yürütme Güvenlik Açığı 19 Bilgi Açıklama Güvenlik Açığı 22 Hizmet Reddi Güvenlik Açığı 7 Sahtekarlık Güvenlik Açığı Microsoft, bu ay Microsoft Edge güvenlik açıklarını henüz düzeltmedi.

Bugünün güncellemeleriyle altı sıfır gün hatası düzeltildi ve bunların tümü saldırılarda kullanıldı, bunlardan biri ise kamuya açıklandı.

Microsoft, bir açığın sıfır gün olarak sınıflandırılmasını, açığın kamuya açıklandığı veya resmi bir düzeltme olmadan aktif olarak istismar edildiği durumlarda yapar.

Bugünkü güncellemelerde aktif olarak istismar edilen altı sıfır gün hatası şunlardır:

CVE-2023-32046 – Windows MSHTML Platformu Ayrıcalık Yükseltme Güvenlik Açığı

Microsoft, Windows MSHTML’deki aktif olarak istismar edilen bir ayrıcalık yükseltme güvenlik açığını düzeltti. Bu açık, özel olarak oluşturulmuş bir dosyayı e-posta veya kötü niyetli web siteleri aracılığıyla açarak istismar ediliyordu.

“Saldırgan, etkilenen uygulamayı çalıştıran kullanıcının haklarını elde eder” diye açıklanmaktadır.

Microsoft, bu hatanın Microsoft Tehdit İstihbarat Merkezi tarafından içeriden keşfedildiğini belirtmektedir.

CVE-2023-32049 – Windows SmartScreen Güvenlik Özelliği Atlatma Güvenlik Açığı

Saldırganlar, bu açığı istismar ederek internetten dosya indirirken ve açarken “Açma Dosyası – Güvenlik Uyarısı” ekranının görüntülenmesini engelledi.

Microsoft, bu açığın Microsoft Tehdit İstihbarat Merkezi tarafından içeriden keşfedildiğini belirtmektedir.

CVE-2023-36874 – Windows Hata Raporlama Servisi Ayrıcalık Yükseltme Güvenlik Açığı

Bu aktif olarak istismar edilen ayrıcalık yükseltme hatası, saldırganlara Windows cihazında yönetici ayrıcalıklarını kazandırıyordu.

“Saldırganın hedeflenen makineye yerel erişimi olmalıdır ve kullanıcının varsayılan olarak kısıtlanmış ayrıcalıklara sahip olarak makine üzerinde klasör ve performans izleri oluşturabilmesi gerekir” uyarısında bulunulmaktadır.

Microsoft, bu hatanın Google Tehdit Analiz Grubu (TAG) üyeleri Vlad Stolyarov ve Maddie Stone tarafından keşfedildiğini belirtmektedir.

CVE-2023-36884 – Office ve Windows HTML Uzaktan Kod Yürütme Güvenlik Açığı

Microsoft, Microsoft Office ve Windows’ta kullanılan açıklanmamış bir sıfır gün açığına ilişkin yönlendirmeler yayınladı. Bu açık, özel olarak oluşturulmuş Microsoft Office belgelerini kullanarak uzaktan kod yürütmeyi mümkün kılıyor.

“Microsoft, Windows ve Office ürünlerini etkileyen bir dizi uzaktan kod yürütme açığına ilişkin raporları araştırmaktadır. Microsoft, özel olarak oluşturulmuş Microsoft Office belgelerini kullanarak bu açıkları istismar etmeye yönelik hedeflenmiş saldırılardan haberdar olmuştur” şeklinde açıklanmaktadır.

“Ancak, saldırganın kurbanı yanıltması gerekmektedir. Saldırgan, kurbanın kötü niyetli dosyayı açmasını sağlayacak şekilde özel olarak oluşturulmuş bir Microsoft Office belgesi oluşturabilir.”

“Bu soruşturma tamamlandıktan sonra Microsoft, müşterilerimizi korumak için uygun önlemleri alacaktır. Bu, aylık yayın sürecimiz aracılığıyla bir güvenlik güncellemesi sağlamayı veya müşteri gereksinimlerine bağlı olarak olağan dışı bir güvenlik güncellemesi sağlamayı içerebilir.”

Microsoft daha sonra açıklamalarında bu zafiyetin RomCom adlı hacker grubu tarafından istismar edildiğini paylaştı. Bu hacker grubu daha önce Endüstriyel Casus fidye yazılımını saldırılarda kullanmakla biliniyordu. Son zamanlarda fidye yazılımı operasyonu, “Underground” adı altında yeniden markalaşmış ve saldırılara devam etmektedir.

Siber suçlular aynı zamanda Cuba fidye yazılımı operasyonuyla ilişkilendirilmektedir. BleepignComputer, Industrial Spy fidye notlarında yanlışlıkla Cuba çetesine ait e-posta adreslerinin, TOX sohbet kimliklerinin ve bağlantıların yer aldığına dikkat çeken ilk raporu yayınladı. Bu bağlantı daha sonra Palo Alto ve CISA tarafından yapılan raporlarda daha da güçlendirildi.

Şu anda bu hataya yönelik herhangi bir güvenlik güncellemesi mevcut değildir, ancak Microsoft, Microsoft Defender for Office kullanıcıları ve “Tüm Office uygulamalarının alt süreç oluşturmasını engelle” saldırı yüzeyini azaltma kuralını kullanan kullanıcıların bu açığı istismar etmeye çalışan eklemelerden korunduğunu belirtmektedir.

Bu korumaları kullanmayan kullanıcılar, aşağıdaki uygulama adlarını HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION kayıt defterine REG_DWORD türünde ve 1 veriyle değer olarak ekleyebilirler.

Excel.exe Graph.exe MSAccess.exe MSPub.exe PowerPoint.exe Visio.exe WinProj.exe WinWord.exe Wordpad.exe

Bu hatanın açığa çıkmasında Microsoft Tehdit İstihbaratı, Vlad Stolyarov, Clement Lecigne ve Bahare Sabouri (Google Tehdit Analiz Grubu), Paul Rascagneres ve Tom Lancaster (Volexity) ile Microsoft Office Ürün Grubu Güvenlik Ekibi katkıda bulunmuştur.

Diğer şirketlerden gelen güncellemeler

Temmuz 2023’te güncelleme veya rehberlik yayınlayan diğer şirketler şunlardır:

• AMD, Windows için Adrenalin 23.7.1 WHQL sürücüsünü yayınladı.
• Apple, aktif olarak istismar edilen bir WebKit açığını düzeltmek için Hızlı Güvenlik Yanıtı (RSR) güncellemelerini yayınladı. Ancak Apple, güncellemenin kullanıcı ajanı eşleştirmesinde değişiklik yapması nedeniyle güncellemeyi geri çekti.
• Cisco, Cisco DUO, Webex, Secure Email Gateway, Cisco Nexus 9000 Serisi Fabric Switches ve diğer ürünler için güvenlik güncellemelerini yayınladı.
• Google, aktif olarak istismar edilen açıkları düzeltmek için Android Temmuz 2023 güncellemelerini yayınladı.
• “StackRot” olarak bilinen bir Linux güvenlik açığı, ayrıcalık yükseltmeye izin verir.
• Microsoft, Temmuz ayı için Windows Alt Sistemi için Android güncellemelerini yayınladı.
• MOVEit, kritik düzeyde bir SQL enjeksiyon hatasını ve diğer iki daha az ciddi güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
• SAP, Temmuz 2023 Yama Günü güncellemelerini yayınladı.
• VMware, bir kimlik doğrulama atlaması güvenlik açığını düzeltmek için VMware SD-WAN güncellemelerini yayınladı.

Temmuz 2023 ayı Yama Güvenlik Güncellemeleri

Aşağıda, Temmuz 2023 ayı Yama güncellemelerinde çözülen tüm güvenlik açıklarının tam listesi bulunmaktadır.

Her bir güvenlik açığı hakkında tam açıklama ve etkilediği sistemlere erişmek için buradan tam raporu görüntüleyebilirsiniz.