Microsoft güvenlik açığı avcıları yeni bir açık yakaladılar: çeşitli ürün ve hizmetlerinde beşi kritik 64 güvenlik açığı. Yama yayınlanmadan önce iki güvenlik açığının duyurusu (bu durum onları, teknik olarak sıfır gün yapar) yapıldı. Bir tanesi ise saldırganlar tarafından aktif olarak kötüye kullanılıyor. Her zamanki gibi önerimiz, güncellemeleri vakit kaybetmeden yüklemeniz. Biz de, bu sırada, özel ilgi isteyen güvenlik açıklarından kısaca bahsedeceğiz.
Saldırganların aktif olarak kötüye kullandığı CVE-2022-37969
CVE-2022-37969, Common Log File System sürücüsünde bulunan bir sıfır gün güvenlik açığı. Bu, en son güncellemeyle yaması yayınlanan en tehlikeli hata değil (CVSS derecesi sadece 7.8). Çünkü saldırganların bunu kötüye kullanmak için kurbanın bilgisayarına bir şekilde erişim sağlaması gerekiyor. Bunun yanı sıra, eğer başarılı olurlarsa, SYSTEM’de ayrıcalıkları yükselecek. Microsoft’a göre, bazı saldırganlar bu güvenlik açığını zaten kötüye kullanıyor. Bu yüzden, en kısa sürede bir yama yayınlanmalı.
Kritik güvenlik açıkları
Yeni düzeltilen beş kritik güvenlik açığının tümü, uzaktan kod yürütme (RCE) sınıfına ait. Yani, kurban bilgisayarlarda rastgele kod çalıştırmak için kullanılabilirler.
- CVE-2022-34718 — Windows TCP/IP’de CVSS derecesi 9.8 olan bir hata. Yetkisi olmayan bir saldırgan, özel hazırlanmış bir IPv6 paketiyle IPSec hizmetinin etkinleştirerek, bunu saldırıya uğrayan Windows bilgisayarda rastgele kod yürütmek için kullanabilir.
- CVE-2022-34721 ve CVE-2022-34722 — bir saldırganın korunmasız bir makineye, bir IP paketi göndererek kötü amaçlı kod yürütmesini sağlayan Internet Anahtar Değişim protokolünde bulunan güvenlik açıkları. Her ikisinin de CVSS derecesi 9.8. Bu güvenlik açıkları, sadece IKEv1 protokol sürümünü etkilese de Microsoft, tüm Windows Server sistemlerinin güvenlik açığından etkilendiğini hatırlatıyor çünkü sistemlerde hem v1 hem de v2 paketleri geçerli kabul ediliyor.
- CVE-2022-34700 ve CVE-2022-35805 — Microsoft Dynamics müşteri ilişkileri yönetimi (CRM) yazılımında bir çift güvenlik açığı. Bu iki güvenlik açığının kötüye kullanılması, kimliği doğrulanmış bir kullanıcının rastgele SQL komutları yürütmesini sağlıyor. Daha sonra saldırgan, ayrıcalıklarını yükseltebilir ve db_owner ayrıcalıklarıyla Dynamics 365 veritabanında komut yürütebilir. Saldırganın yine de kimlik doğrulaması yapması gerektiği için, bu güvenlik açıklarının CVSS ölçeğinde dereceleri biraz daha düşük (8.8), ancak yine de kritik öneme sahip oldukları düşünülüyor.
ARM işlemcileriyle ilgili bir güvenlik açığı — CVE-2022-23960
CVE-2022-23960, yamadan önce duyurusu yapılan ikinci güvenlik açığı. Teoride bu, saldırganların yama yayınlanmadan önce kötüye kullanabilecekleri bir güvenlik açığı olabilirdi, ancak işin aslı böyle görünmüyor. Aslında CVE-2022-23960, bir işlemcinin talimatları spekülatif yürütme mekanizmasına müdahalede bulunan Spectre güvenlik açığının bir başka çeşidi. Farklı bir şekilde ifade etmek gerekirse, gerçek saldırılarda kullanılma olasılığı son derece düşük. Yani, tehlike biraz teoride kalıyor. Ayrıca, bu güvenlik açığı yalnızca ARM64 tabanlı sistemlerde Windows 11 için geçerli. Bu durum, kötüye kullanımın gerçekleşme ihtimalini düşürüyor.
Diğer güvenlik açıkları
Salı günü yayınlanan Eylül ayı yamasında, şaşırtıcı derecede az sayıda tehlikeli olmayan güvenlik açığı var. Sadece birinin önem derecesi düşük, diğerinin derecesi ise orta. Geriye kalan 57 tanesi, yukarıda bahsi geçen beş kritik güvenlik açığı kadar tehlikeli olmasa da hala “önemli” kategorisinde. Bu yüzden, yazının başında da önerdiğimiz gibi, vakit kaybetmeden güncellemek en iyisi.
Kendinizi korumanın yolları
Öncelikle, zaten yaması yayınlanan güvenlik açıklarını düzeltmeniz gerekiyor. Ayrıca, internet bağlantısı olan tüm bilgisayarların ve sunucuların, güvenlik açığı tespiti ve kötüye kullanım önleme teknolojileriyle donatılmış güvenlik çözümleriyle korunmasını öneriyoruz. Bu, şirketinizi hem bilinen hem de henüz bilinmeyen güvenlik açıklarına karşı korumanızı sağlayacak.