Yeni bir yıl, yeni yamalar

Microsoft, yıla büyük bir güvenlik açığı düzeltmesiyle başladı ve tek seferde toplam 96 güvenlik açığını kapsayan ilk Salı güncellemesini yayınlamakla kalmadı, aynı zamanda Microsoft Edge tarayıcısı için (temelde Chromium motoruyla ilgili olan) bir dizi düzeltme de yayınladı. Bu sayede yılın başından beri 120’den fazla güvenlik açığı için yama çıkarılmış oluyor. Bu, işletim sistemini ve bazı Microsoft uygulamalarını mümkün olan en kısa sürede güncellemek için yeterli bir nedendir.

En ciddi güvenlik açıkları

Bu Salı kapatılan güvenlik açıklarından 9’u, CVSS 3.1 ölçeğinde kritik bir dereceye sahip. Bunlardan ikisi ayrıcalık yükseltme ile ilgilidir: Sanal Makine IDE Sürücüsündeki CVE-2022-21833 güvenlik açığı ile Active Directory Etki Alanı Hizmetlerindeki CVE-2022-21857 güvenlik açığı. Diğer 7 güvenlik açığı, bir saldırgana uzaktan kod yürütebilme imkanı sağlıyor:

• HEVC Video Uzantılarındaki CVE-2022-21917,
• DirectX Graphics Kernel’indeki CVE-2022-21912 ve CVE-2022-21898,
• Microsoft Exchange Server’daki CVE-2022-21846,
• Microsoft Office’teki CVE-2022-21840,
• Open Source Curl’deki CVE-2021-22947,
• ve HTTP Protokol Yığınındaki CVE-2022-21907 güvenlik açığı.

En can sıkıcı güvenlik açığı sonuncusu gibi görünüyor. HTTP protokol yığınındaki bir hata teorik olarak saldırganların yalnızca etkilenen bilgisayarda rastgele kod yürütmesine değil, aynı zamanda saldırıyı yerel ağ üzerinden yaymasına da olanak tanır (Microsoft terminolojisine göre, söz konusu güvenlik açığı <em>solucanlaştırılabilir</em> olarak sınıflandırılıyor) — yani bir solucan oluşturmak için kullanılabilir). Bu güvenlik açığı Windows 10, Windows 11, Windows Server 2022 ve Windows Server 2019 ile ilgili. Ancak Microsoft’a göre, yalnızca kayıt defterindeki EnableTrailerSupport anahtarını kullanılmasıyla HTTP Trailer Desteği etkinleştirilebildiği için Windows Server 2019 ve Windows 10 sürüm 1809 kullanıcıları için de tehlikelidir.

Uzmanlar ayrıca Microsoft Exchange Server’daki — CVE-2022-21846 no.lu başka bir ciddi güvenlik açığının (bu arada, listedeki tek Exchange hatası değil, sadece en tehlikelisi) varlığına dair endişelerini de dile getirdiler. Endişelerinde oldukça haklılar — kimse geçen yıl kullanılan Exchange güvenlik açıkları dalgasının tekrarlanmasını istemiyor.

PoC’lerle ilgili güvenlik açıkları

Sabit güvenlik açıklarından bazıları güvenlik topluluğu tarafından zaten biliniyordu. Dahası, birisi bu güvenlik açıklarına ilişkin kavram kanıtlarını (PoC) zaten yayınlamıştı:

• CVE-2022-21836 — Windows sertifika sızdırma güvenlik açığı,
• CVE-2022-21839 — Windows olay izleme isteğe bağlı erişim denetim listesi hizmet reddi güvenlik açığı,
• CVE-2022-21919 — Windows kullanıcı profili hizmetinde ayrıcalık yükselmesi güvenlik açığı.

Henüz bu güvenlik açıklarını kullanan gerçek saldırılar gözlemlemedik. Bununla birlikte, kavramın kanıtları zaten halka açık, bu nedenle her an bu açıklar kullanılmaya başlayabilir.

Kendinizi korumanın yolları

İlk olarak, işletim sisteminizi (ve Microsoft’un diğer programlarını) mümkün olan en kısa sürede güncellemeniz gerekiyor. Genel olarak, kritik yazılımlara ait yamaları yüklemeyi geciktirmemek akıllıca olacaktır.

İkinci olarak da, internet’e bağlı herhangi bir bilgisayar veya sunucuya, yalnızca bilinen güvenlik açıklarından faydalanılmasını engellemekle kalmayıp, aynı zamanda henüz bilinmeyen açıklara ilişkin saldırıları tespit edebilen güvenilir bir güvenlik çözümü yüklenmelidir.