Microsoft 2023 Crıtıcal ve Important Açıkları (CVE-2023-36884)
CVE-2023-36884 | Office ve Windows HTML Uzak Kod Yürütme Açığı
CVE-2023-36884, Microsoft Windows ve Office'de bir RCE açığıdır ve CVSSv3 puanı 8.3 olarak atanmıştır; ayrıca, bu açık zero-day olarak sahada kullanılmıştır. Bu yazı ve bu bilgilendirme yayımlandığında, Microsoft bu açığı kapatmak için herhangi bir yama yayınlamamıştı. Ancak, Microsoft bu açığın sömürülmemesi için kullanılabilecek önlemler konusunda rehberlik sağlamıştır.
Microsoft araştırmacılarına göre, CVE-2023-36884'ün sömürülmesi, Storm-0978 olarak bilinen, aynı zamanda DEV-0978 ve RomCom olarak da bilinen bir tehdit aktörüne atfedilmiştir; grup saldırılarının bir parçası olarak kullandığı arka kapıya atıfta bulunularak. Tehdit aktörünün iddia edilen yerleşim yeri Rusya'dır ve Underground adlı bir fidye yazılımını kullanarak, sadece şantaj kampanyalarını içeren fidye saldırıları düzenleme konusunda bilinmektedir. Ayrıca, grup aynı zamanda kimlik bilgisi çalma işlemlerine dayanan istihbarat toplama operasyonları da gerçekleştirir. CVE-2023-36884'ün sömürülmesi Haziran 2023'te başladı. Hedeflenen bölgeler arasında Ukrayna, Kuzey Amerika ve Avrupa yer alırken, hedeflenen endüstriler arasında telekomünikasyon ve finans bulunmaktadır.
Tenable, CVE-2023-36884'e karşı bir önlemi eksik olabilecek bir Windows ana bilgisayarını tanımlamak için kullanılabilecek Plugin ID 178275'i yayınlamıştır: Office ve Windows HTML Uzak Kod Yürütme Açığı (CVE-2023-36884) Önlemi. Plugin'in yürütülmesi için kullanıcıların "Potansiyel yanlış alarmları göster" ayarını etkinleştirmeleri gerekmektedir, aynı zamanda paranoi modu olarak da bilinir.
Paranoid bir taramada yalnızca bu belirli eklentiyi etkinleştirmeyi öneririz. Tüm eklentilere sahip tarama politikaları, tarama sırasında tüm paranoi eklentilerini içereceğinden tetikleyici sayısında bir artışa neden olacaktır.
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
Storm-0978 attacks reveal financial and espionage motives | Microsoft Security Blog
Microsoft has identified a phishing campaign conducted by the threat actor tracked as Storm-0978 targeting defense and government entities in Europe and North America. The campaign involved the abuse of CVE-2023-36884, which included a zero-day remote code execution vulnerability exploited via...
Assessment Scan Settings (Tenable Nessus 10.7)
docs.tenable.com
CVE-2023-35311 | Microsoft Outlook Güvenlik Özelliği Atlatma Açığı
CVE-2023-35311, Microsoft Outlook'ta bir güvenlik özelliği atlatma açığıdır. Bu açığa CVSSv3 puanı olarak 8.8 atanmış ve sahada zero-day olarak kullanılmıştır. Bu açığın sömürülmesi, bir saldırganın potansiyel bir kurbanı kötü niyetli bir URL'ye tıklamaya ikna etmesini gerektirir. Başarılı bir sömürü, Microsoft Outlook Güvenlik Uyarısı penceresinin atlatılmasına, kullanıcıları korumak amacıyla tasarlanmış bir özelliğin atlatılmasına neden olacaktır. Microsoft, Outlook'un Önizleme penceresi özelliğinin bir saldırı vektörü olduğunu belirtse de, kullanıcı etkileşimi hala gereklidir.
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
CVE-2023-32046 | Windows MSHTML Platform Yükseltme Ayrıcalığı Açığı
CVE-2023-32046, Microsoft’un MSHTML (Trident) motorunda bir EoP (Ayrıcalık Yükseltme) açığıdır ve sahada zero-day olarak kullanılmıştır. Bu açığa CVSSv3 puanı olarak 7.8 atanmış ve Windows'un tüm desteklenen sürümleri için yamalar mevcuttur. Bu açığı sömürmek için bir saldırganın özel olarak oluşturulmuş bir dosya oluşturması ve hedeflerini belgeyi açmaya ikna etmek için sosyal mühendislik tekniklerini kullanması gerekmektedir. Microsoft'un bilgilendirmesi ayrıca, Sadece Güvenlik Güncellemelerini kuran kullanıcıların bu açığı tamamen ele almak için Internet Explorer Kumulatif güncellemesini de kurmalarını öneren bir not içermektedir.
CVE-2023-32046'nın keşfi, Microsoft'un Eylül 2021'in Yama Salı sürümünün bir parçası olarak yaması yapılan CVE-2021-40444'ü takip ediyor. Bu başka bir MSHTML'deki zero-day açığıydı ve çeşitli tehdit aktörleri tarafından kullanıldı, gelişmiş kalıcı tehdit aktörleri ve fidye yazılım grupları da dahil. CVE-2021-40444, 2021 Tehdit Manzarası Retrospektifi'nde ilk 5 listemizi yapmasa da, bu açıklık, neredeyse listemize giren dikkate değer açıklıklardan biriydi.
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
CVE-2023-36874 | Windows Hata Bildirimi Servisi Ayrıcalık Yükseltme Açığı
CVE-2023-36874, Microsoft Windows Hata Bildirimi Servisi'nde bir EoP (Ayrıcalık Yükseltme) açığıdır. Bu açığa CVSSv3 puanı olarak 7.8 atanmış ve sahada zero-day olarak kullanılmıştır. Bu açığı sömürmek için bir saldırganın zaten hedef sistemde yerel erişim elde etmiş olması ve belirli temel kullanıcı ayrıcalıklarına sahip olması gerekmektedir. Başarılı bir sömürü, saldırganın hedef sistemde yönetici ayrıcalıklarını elde etmesine izin verecektir. Bu açığın keşfi, Google'ın Tehdit Analizi Grubu (TAG) araştırmacıları Vlad Stolyarov ve Maddie Stone'a atfedilmektedir.
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
CVE-2023-32049 | Windows SmartScreen Güvenlik Özelliği Atlatma Açığı
CVE-2023-32049, Windows SmartScreen'i etkileyen bir güvenlik özelliği atlatma açığıdır; bu, kötü amaçlı web sitelerine karşı koruma sağlayan bir erken uyarı sistemi olarak tasarlanmıştır ve sahtekârlık saldırıları veya kötü amaçlı yazılım dağıtımı için kullanılan sitelere karşı koruma sağlar. Bu açığı sömürmek için bir saldırganın bir kullanıcıyı özel olarak oluşturulmuş bir URL'yi açmaya ikna etmesi gerekmektedir. Sömürü, saldırganın "Dosya Aç" uyarısı penceresini atlatmasına ve kurbanın makinesini tehlikeye atmalarına izin verecektir. Bu açık, sahada zero-day olarak kullanılmış ve CVSSv3 puanı olarak 8.8 atanmıştır.
Bu açık, Microsoft tarafından yamalanan diğer mark of the web (MOTW) açıklarına benzer; bu açıklar, kötü amaçlı dosyaların MOTW savunmalarını atlatabileceği durumları içerir. CVE-2022-44698, sahada kullanılan ve Aralık 2022 Yama Salı sürümünde yamalanan başka bir zero-day açığına örnek teşkil eder.
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
