Microsoft Salı günü, yazılımını kapsayan toplamda 132 yeni güvenlik açığını gidermek için güncellemeler yayınladı. Bu açıklar arasında aktif olarak gerçekleştirilen saldırılarda kullanıldığı belirtilen altı sıfır gün açığı bulunuyor. 130 güvenlik açığından dokuzu “Kritik” olarak değerlendirilirken, 121’i “Önemli” olarak sınıflandırıldı. Bu, teknoloji devinin geçen ayın sonunda Chromium tabanlı Edge tarayıcısında düzelttiği sekiz açığın üzerine eklenmiştir.
Aktif saldırıya uğrayan sorunların listesi aşağıdaki gibidir:
- CVE-2023-32046 (CVSS puanı: 7.8) – Windows MSHTML Platformu Hak Yükseltme Açığı
- CVE-2023-32049 (CVSS puanı: 8.8) – Windows SmartScreen Güvenlik Özelliği Atlatma Açığı
- CVE-2023-35311 (CVSS puanı: 8.8) – Microsoft Outlook Güvenlik Özelliği Atlatma Açığı
- CVE-2023-36874 (CVSS puanı: 7.8) – Windows Hata Raporlama Servisi Hak Yükseltme Açığı
- CVE-2023-36884 (CVSS puanı: 8.3) – Office ve Windows HTML Uzaktan Kod Çalıştırma Açığı (Aynı zamanda yayınlanma anında halka açık bilinen bir açık)
- ADV230001 – Sonraki saldırı etkinlikleri için Microsoft imzalı sürücülerin kötüye kullanımı (CVE atanmamış)
Windows üreticisi, CVE-2023-36884’ü söz konusu yapan özel olarak oluşturulmuş Microsoft Office belge tuzakları kullanarak Avrupa ve Kuzey Amerika’daki savunma ve devlet kurumlarına yönelik hedefli saldırıları farkında olduğunu belirtti. Bu, BlackBerry’nin en son bulgularını yankılayan bir durumdur. “Bir saldırgan, kurbanın bağlamında uzaktan kod yürütme gerçekleştirmesine olanak sağlayan özel olarak oluşturulmuş bir Microsoft Office belgesi oluşturabilirdi,” Microsoft açıklamasında belirtti. “Ancak saldırganın kurbanı zararlı dosyayı açmaya ikna etmesi gerekmektedir.”
Şirket, Storm-0978 olarak izlediği ve RomCom, Tropical Scorpius, UNC2596 ve Void Rabisu adlarıyla da bilinen Rusya kökenli bir siber suçlu grubuna saldırıyı bildirdi. “Saldırgan aynı zamanda, Mayıs 2022’de ilk kez sahada gözlemlenen Endüstriyel Casus yazılımına yakından ilişkili olan Underground fidye yazılımını da dağıtıyor,” diye açıkladı Microsoft Tehdit İstihbaratı ekibi. “Saldırganın Haziran 2023’te tespit edilen son kampanyası, RomCom’a benzerlikler gösteren bir arka kapıyı CVE-2023-36884’ü kötüye kullanarak teslim etmekle ilgiliydi.”
Söz konusu saldırganın gerçekleştirdiği son phishing saldırıları, Doğu Avrupa ve Kuzey Amerika’daki çeşitli Ukrayna ve pro-Ukrayna hedeflerine yönelik RomCom RAT adlı bir uzak erişim truva atının kullanılmasıyla gerçekleşti. RomCom, başlangıçta Küba fidye yazılımı ile ilişkili bir grup olarak tanımlanmış olsa da, Temmuz 2023 itibarıyla Endüstriyel Casus ve Underground adlı yeni bir varyantla bağlantılı olduğu belirlendi ve bu yazılımlarla kayda değer bir kaynak kodu benzerliği sergiliyor. Microsoft, müşterilerini korumak için “acil durum güncellemesi” veya aylık güvenlik güncelleme süreci aracılığıyla “uygun önlemleri almak” niyetinde olduğunu belirtti. CVE-2023-36884 için bir yama bulunmadığı durumda, şirket kullanıcılarına “Tüm Office uygulamalarının alt süreçler oluşturmasını engelleme” saldırı yüzeyi azaltma (ASR) kuralını kullanmalarını tavsiye etmektedir.
Ayrıca, Redmond, Windows politika açığından yararlanarak tarih öncesi sürücülerin imzalama tarihini 29 Temmuz 2015’ten önce değiştirmek için HookSignTool ve FuckCertVerifyTimeValidity gibi açık kaynaklı araçlar kullanarak kompromize edilen sistemlere kötü amaçlı çekirdek modu sürücülerini imzalamak ve yüklemek için kullanılan kod imzalama sertifikalarını iptal ettiğini belirtti. Bu bulgular, sahte çekirdek modu sürücülerinin tehdit aktörleri arasında popüler hale geldiğini göstermektedir, çünkü Windows’ta en yüksek ayrıcalık düzeyinde çalışırken uzun süreli kalıcılık sağlamak ve aynı anda güvenlik yazılımlarının çalışmasını engelleyerek tespit edilmeyi önlemek mümkün olmaktadır. Diğer Yazılım Tedarikçilerinden Yazılım Güncelleştirmeleri Microsoft’a ek olarak, son birkaç hafta içinde birçok başka tedarikçi tarafından çeşitli zafiyetleri düzeltmek için güvenlik güncelleştirmeleri de yayınlandı. Bu tedarikçiler arasında Adobe, AMD, Android, Apache Projects, Apple (daha sonra geri çekildi), Aruba Networks, Cisco, Citrix, CODESYS, Dell, Drupal, F5, Fortinet, GitLab, Google Chrome, Hitachi Energy, HP, IBM, Juniper Networks, Lenovo, Debian, Oracle Linux, Red Hat, SUSE ve Ubuntu gibi Linux dağıtımları, MediaTek, Mitsubishi Electric, Mozilla Firefox, Firefox ESR ve Thunderbird, NETGEAR, NVIDIA, Progress MOVEit Transfer, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, Synology, VMware, Zoom ve Zyxel bulunmaktadır.
