Kısaca Salı Yaması – bir 0 günlük sabit, ancak Exchange için yama yok!

İki hafta önce bildirmiştik iki sıfır gün Microsoft Exchange'de, bundan üç hafta önce, bir müşterinin ağındaki bir olay müdahale katılımıyla ilgili hatalara rastladığını iddia eden Vietnamlı bir şirket tarafından Microsoft'a rapor edilmişti. (Bunu iki kez okumanız gerekebilir.)

Muhtemelen hatırladığınız gibi, hatalar geçen seneyi andırıyor. ProxyOturum Açma/ProxyShell Windows'ta güvenlik sorunları, ancak bu sefer kimliği doğrulanmış bir bağlantı gerekli, yani bir saldırganın önceden en az bir kullanıcının e-posta parolasına ihtiyacı var.

Bu, eğlenceli ama gereksiz yere kafa karıştırıcı isme yol açtı. ProxyNotShell, buna kendi notlarımızda E00F, kısaltması olarak atıfta bulunsak da Değişim çift sıfır gün kusuru, çünkü yanlış okumak daha zordur.

Oturum açmanın parola kısmını yaptıktan sonra, ancak oturum açma işlemini tamamlamak için gereken herhangi bir 00FA kimlik doğrulamasını yapmadan önce, E2F saldırı zincirindeki ilk güvenlik açığından yararlanılabileceğine ilişkin önemli ayrıntıyı da muhtemelen hatırlayacaksınız.

Bu, onu Sophos uzmanı haline getirir Chester Wisniewski dublajlı gerçek bir kimlik doğrulama sonrası hatadan ziyade bir "kimlik doğrulama ortası" deliği:

Bir hafta önce, yaptığımız bir hızlı özet Microsoft'un, şirketin resmi hafifletme tavsiyesinin birkaç kez değiştirildiğini gören E00F'ye verdiği yanıttan, Naked Security podcast'inde şu şekilde spekülasyon yaptık:

Bu sabah [2022-10-05] Microsoft'un Yönerge belgesine bir göz attım, ancak bir yama veya ne zaman kullanıma sunulacağı hakkında herhangi bir bilgi görmedim.

Gelecek Salı [2022-10-11] Salı Yaması, yani belki o zamana kadar beklememiz gerekecek?

Bir gün önce [2022-10-11] son Yama Salı...

…ve en büyük haber ise neredeyse kesinlikle yanılmış olmamız: daha fazla beklememiz gerekecek.

Exchange dışında her şey

Bu ayın Microsoft yamaları (nasıl saydığınıza ve kimin saydığına bağlı olarak 83 veya 84 olarak bildirilir) Microsoft ekosisteminin 52 farklı bölümünü (şirketin tanımladığı gibi) kapsar. "ürünler, özellikler ve roller"), daha önce hiç duymadığımız birkaçı dahil.

Burada baştan sona tekrarladığımız baş döndürücü bir liste:

Active Directory Etki Alanı Hizmetleri Azure Azure Arc İstemci Sunucusu Çalışma Zamanı Alt Sistemi (CSRSS) Microsoft Edge (Chromium tabanlı) Microsoft Grafik Bileşeni Microsoft Office Microsoft Office SharePoint Microsoft Office Word SQL NuGet İstemci Uzaktan Erişim Hizmeti için Microsoft WDAC OLE DB sağlayıcısı Noktadan Noktaya Nokta Tünel Protokolü Rol: Windows Hyper-V Service Fabric Visual Studio Kodu Windows Active Directory Sertifika Hizmetleri Windows ALPC Windows CD-ROM Sürücüsü Windows COM+ Olay Sistemi Hizmeti Windows Bağlantılı Kullanıcı Deneyimleri ve Telemetri Windows CryptoAPI Windows Defender Windows DHCP İstemcisi Windows Dağıtılmış Dosya Sistemi (DFS) ) Windows DWM Çekirdek Kitaplığı Windows Olay Günlüğü Hizmeti Windows Grup İlkesi Windows Grup İlkesi Tercihi İstemcisi Windows Internet Anahtar Değişimi (IKE) Protokolü Windows Çekirdeği Windows Yerel Güvenlik Yetkilisi (LSA) Windows Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) Windows Yerel Oturum Yöneticisi (LSM) Windows NTFS Windows NTLM Windows ODBC Sürücü Penceresi s Algı Simülasyon Hizmeti Windows Noktadan Noktaya Tünelleme Protokolü Windows Taşınabilir Aygıt Numaralandırıcı Hizmeti Windows Yazdırma Biriktiricisi Bileşenleri Windows Esnek Dosya Sistemi (ReFS) Windows Güvenli Kanal Windows Güvenlik Destek Sağlayıcı Arayüzü Windows Server Uzaktan Erişilebilir Kayıt Defteri Anahtarları Windows Server Hizmeti Windows Depolama Windows TCP/ IP Windows USB Seri Sürücü Windows Web Hesap Yöneticisi Windows Win32K Windows WLAN Hizmeti Windows İş İstasyonu Hizmeti

Gördüğünüz gibi, "Değişim" kelimesi IKE bağlamında yalnızca bir kez görünüyor, internet anahtar değişim protokolü.

Dolayısıyla, bundan üç hafta önceki bir ilk raporla ilgili bir hafta önceki makalemizi takip ettikten bir hafta sonra, E00F hataları için hala bir düzeltme yok.

Başka bir deyişle, hala kendi şirket içi Exchange sunucunuz varsa, yalnızca Exchange Online'a etkin geçişin bir parçası olarak çalıştırıyor olsanız bile, bu ayın Salı Yaması size herhangi bir Exchange rahatlığı getirmedi, bu nedenle Microsoft'un en son ürün azaltmaları konusunda güncel olduğunuzdan ve hangi algılama ve tehdit sınıflandırma dizelerini bildiğinizden emin olun. siber güvenlik satıcısı kullanıyor ağınızı araştıran potansiyel ProxyNotShell/E00F saldırganlarına karşı sizi uyarmak için.

Ne düzeldi?

Bu ay nelerin düzeltildiğinin ayrıntılı bir incelemesi için, "içeriden bilgi almak" için kardeş sitemiz Sophos News'e gidin güvenlik açığı ve istismar raporu SophosLabs'tan:

Öne çıkanlar (veya bakış açınıza bağlı olarak vurgulananlar) şunları içerir:

• Office'te veri sızıntısına neden olabilecek, genel olarak açıklanan bir kusur. Bu hatayı kullanan gerçek saldırıların farkında değiliz, ancak nasıl kötüye kullanılacağına ilişkin bilgiler, yama ortaya çıkmadan önce potansiyel saldırganlar tarafından biliniyordu. (CVE-2022-41043)
• COM+ Olay Sistemi Hizmetinde genel olarak yararlanılan bir ayrıcalık yükseltme kusuru. Genel olarak bilinen ve gerçek hayattaki saldırılarda zaten istismar edilmiş bir güvenlik açığı, bir güvenlik açığıdır. sıfırıncı gün, çünkü siber yeraltı dünyası onu nasıl kötüye kullanacağını bilmeden önce yamayı uygulayabileceğiniz sıfır gün vardı. (CVE-2022-41033)
• TLS güvenlik sertifikalarının nasıl işlendiğine ilişkin bir güvenlik açığı. Bu hata, görünüşe göre Birleşik Krallık ve ABD'nin (sırasıyla GCHQ ve NSA) hükümet siber güvenlik hizmetleri tarafından bildirildi ve saldırganların kendilerini başka birinin kod imzalama veya web sitesi sertifikasının sahibi olarak yanlış tanıtmalarına izin verebilir. (CVE-2022-34689)

Bu ayın güncellemeleri hemen hemen Windows'un her sürümü Windows 7 32-bit'ten Server 2022'ye kadar; güncellemeler, Windows'un Intel ve ARM özelliklerini kapsar; olarak bilinenler için en azından bazı düzeltmeler içerirler. Sunucu Çekirdeği yükler.

(Sunucu Çekirdeği, büyük ölçüde azaltılmış bir saldırı yüzeyine sahip çok basit, yalnızca komut satırına sahip bir sunucuyla baş başa bırakan, yalnızca ihtiyacınız olmayan bileşenleri dışarıda bırakan sadeleştirilmiş bir Windows sistemidir. örneğin, bir DNS ve DHCP sunucusu.)

Ne yapalım?

Yazımızda açıkladığımız gibi detaylı analiz Sophos News'de, Ayarlar > Windows Update ve sizi neyin beklediğini öğrenin veya Microsoft'un çevrimiçi sayfasını ziyaret edebilirsiniz. Kılavuzu Güncelle ve bireysel güncelleme paketlerini Ürün Güncellemesi.

Ne diyeceğimizi biliyorsun/
   Çünkü bu her zaman bizim yolumuzdur.

Yani, “Gecikmeyin/
   Sadece bugün yap.”

---