Microsoft Ekim 2023 Yama Salı’sı, 3 sıfır-gün güvenlik açığını ve 104 hata düzeltmesini içeren güncellemelerle geldi.
45 uzaktan kod çalıştırma (RCE) hatası düzeltildi, ancak Microsoft sadece 12 açığı ‘Kritik’ olarak derecelendirdi.
Her bir açık kategorisindeki hata sayısı aşağıda listelenmiştir:
26 Hak Yükseltme Açığı
3 Güvenlik Özelliği Atlatma Açığı
45 Uzaktan Kod Çalıştırma Açığı
12 Bilgi Sızdırma Açığı
17 Hizmet Reddi Açığı
1 Taklit Açığı
104 açık toplam sayısına, 3 Ekim’de Google tarafından düzeltilen ve Microsoft Edge’e taşınan CVE-2023-5346 olarak takip edilen bir Chromium açığı dahil değildir.
Üç aktif olarak sömürülen sıfır-gün açık
Bu ayın Yama Salı’sı, üç sıfır-gün açığı düzelten, hepsi saldırılarda sömürülen ve bunlardan ikisinin kamuoyuna açıklandığı güncellemeleri içeriyor.
Microsoft, bir açığı bir resmi düzeltme olmadan kamuoyuna açıklandıysa veya aktif olarak sömürülüyorsa sıfır-gün olarak sınıflandırır.
Bugünkü güncellemelerdeki üç aktif olarak sömürülen sıfır-gün açığı şunlardır:
CVE-2023-41763 – Skype for Business Hak Yükseltme Açığı
Microsoft, Skype for Business’de sınıflandırılan ve Hak Yükseltme hatası olarak kabul edilen aktif olarak sömürülen bir açığı düzeltti.
Microsoft, “Bu açığı başarıyla sömüren bir saldırgan, etkilenen bileşen içindeki bazı hassas bilgilere (Gizlilik) bakabilir, ancak tüm kaynaklara saldırgan ifşa edilmiş olmayabilir,” şeklinde açıklıyor.
“Saldırgan, ifşa edilen bilgilere değişiklik yapamaz (Bütünlük) veya kaynağa erişimi sınırlayamaz.”
Bu açık, Dr. Florian Hauser (@frycos) tarafından keşfedildi ve Hauser, bu açığın Microsoft tarafından daha önce düzeltilmeyi reddettiği Eylül 2022’de açıkladığı aynı açık olduğunu belirtti.
CVE-2023-36563 – Microsoft WordPad Bilgi Sızdırma Açığı
Microsoft, bir belgeyi WordPad’de açarken NTLM hash’lerini çalmak için kullanılabilen aktif olarak sömürülen bir açığı düzeltti.
“Bu açığı sömürmek için bir saldırgan önce sisteme giriş yapmalıdır. Ardından, saldırgan etkilenen bir sistemi ele geçirebilecek bir şekilde açığı sömürebilecek özel bir uygulamayı çalıştırabilir,” diye açıklar Microsoft.
“Ayrıca, bir saldırgan bir yerel kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna edebilir. Saldırgan, kullanıcıyı kötü amaçlı bir dosyayı açmaları için ikna etmelidir, genellikle bir e-posta veya anlık ileti içinde bir caziplik yoluyla bir bağlantıyı tıklamalarını sağlayarak, ardından özel olarak oluşturulan dosyayı açmalarını ikna etmelidir.”
Bu NTLM hash’leri, hesaba erişim elde etmek için çözülebilir veya NTLM Relay saldırılarında kullanılabilir.
Bu açık, Microsoft Tehdit İstihbarat Grubu tarafından içeride keşfedildi ve geçen ay düzeltilen CVE-2023-36761’in bir yan ürünü gibi görünüyor.
CVE-2023-44487 – HTTP/2 Hızlı Sıfırlama Saldırısı
Microsoft, Ağustos ayından bu yana aktif olarak sömürülen ‘HTTP/2 Hızlı Sıfırlama’ adlı yeni bir sıfır-gün DDoS saldırı tekniği için koruma önlemleri yayınladı, tüm önceki rekorları kırdı.
Bu saldırı, HTTP/2’nin akış iptali özelliğini kötüye kullanır, sürekli olarak istek gönderir ve iptal eder, hedef sunucu/uygulamayı sıkıştırır ve bir DDoS durumu uygular.
Bu özellik, HTTP/2 standardına dahil olduğu için protokolü kısıtlamak veya engellemek dışında uygulanabilecek bir “düzeltme” yoktur.
Microsoft’ün önerdiği tedbirler, web sunucusunda HTTP/2 protokolünü devre dışı bırakmaktır. Ancak, daha fazla bilgi içeren ayrı bir HTTP/2 Hızlı Sıfırlama makalesi de sağladılar.
Bu açık, Cloudflare, Amazon ve Google tarafından eşgüdümlü bir şekilde bugün açıklandı.
Microsoft, CVE-2023-41763 ve CVE-2023-36563’ün kamuoyuna açıklandığını belirtiyor.
Kaynak: bleepingcomputer