Bu yılın Şubat ayının tam olarak dört haftalık uzunluğu sayesinde, geçen ay Firefox ve Microsoft güncellemelerinin çakışması bir kez daha gerçekleşti.
Geçen ay Microsoft, üç sıfır gün, burada siber suçluların ilk olarak buldukları ve herhangi bir yama mevcut olmadan gerçek hayattaki saldırılarda nasıl suistimal edeceklerini buldukları güvenlik açıklarını kastediyoruz.
(İsim sıfırıncı gün, ya da sadece 0 günlük, aramızdaki en ilerici ve proaktif yamacıların bile tam olarak sıfır gün kullandığını ve bu süre zarfında dolandırıcıların önüne geçebileceğimizi hatırlatıyor.)
Mart 2023'te biri sıfır gün olmak üzere iki sıfır gün düzeltmesi vardır. Görünüm, ve diğer Windows Akıllı Ekran.
İlginç bir şekilde, vahşi doğada keşfedilen bir hata için, ancak biri Microsoft tarafından oldukça mülayim bir şekilde şöyle bildirildi: İstismar Tespit Edildi, Outlook kusuru ortaklaşa alacaklandırılır CERT-UA (Ukrayna Bilgisayar Acil Müdahale Ekibi), Microsoft Olay Müdahalesi ve Microsoft Tehdit İstihbaratı.
Bundan ne istersen yapabilirsin.
Outlook EoP'si
adlı bu hata CVE-2023-23397: Microsoft Outlook'ta Ayrıcalık Yükselmesi Güvenlik Açığı (EoP), tarif edilen aşağıdaki gibidir:
Bu güvenlik açığından başarıyla yararlanan bir saldırgan, kullanıcının kimliğini doğrulamak için başka bir hizmete yönelik NTLM Geçiş saldırısının temeli olarak kullanılabilecek bir kullanıcının Net-NTLMv2 karmasına erişebilir. […]
Saldırgan, Outlook istemcisi tarafından alınıp işlendiğinde otomatik olarak tetiklenen özel hazırlanmış bir e-posta göndererek bu güvenlik açığından yararlanabilir. Bu, e-posta Önizleme Bölmesinde görüntülenmeden ÖNCE istismara yol açabilir. […]
Harici saldırganlar, kurbandan saldırganların kontrolündeki harici bir UNC konumuna bağlantıya neden olacak özel hazırlanmış e-postalar gönderebilir. Bu, kurbanın Net-NTLMv2 karmasını, daha sonra bunu başka bir hizmete aktarabilen ve kurban olarak kimliğini doğrulayabilen saldırgana sızdıracaktır.
Açıklamak için (tahmin edebildiğimiz kadarıyla, devam edecek saldırı hakkında herhangi bir ayrıntıya sahip olmadığımız düşünülürse).
Kısaca NTLM2 olarak adlandıracağımız Net-NTLMv2 kimlik doğrulaması kabaca şu şekilde çalışır:
- Bağlandığınız konum 8'den fazla rasgele bayt gönderir olarak bilinen meydan okuma.
- Senin bilgisayarın kendi 8 rasgele baytını oluşturur.
- Sen iki sorgulama dizisinin bir HMAC-MD5 anahtarlı karmasını hesaplayın anahtar olarak parolanızın güvenli bir şekilde saklanan mevcut bir karmasını kullanmak.
- Sen anahtarlı karmayı ve 8 baytlık mücadelenizi gönderin.
- Diğer uç artık hem 8 baytlık sorgulamalara hem de tek seferlik yanıtınıza sahiptir, böylece anahtarlı karmayı yeniden hesaplayın ve yanıtınızı doğrulayın.
Aslında bundan biraz daha fazlası var, çünkü aslında iki anahtarlı hash var, biri iki 8 baytlık rasgele meydan okuma sayısını karıştırıyor ve diğeri kullanıcı adınız, alan adınız ve geçerli saat gibi ek verileri karıştırıyor.
Ama temel prensip aynıdır.
Ne gerçek parolanız ne de parolanızın saklanan karması (örneğin Active Directory'den) hiçbir zaman iletilmez, dolayısıyla aktarım sırasında sızdırılamaz.
Ayrıca, her iki taraf da her seferinde kendi rasgeleliklerinden 8 bayt enjekte eder, bu da her iki tarafın da bir önceki oturumdaki aynı anahtarlı hash ile sonuçlanma umuduyla eski bir meydan okuma dizesini sinsice yeniden kullanmasını engeller.
(Zamanı ve oturum açmaya özgü diğer verileri sarmalamak, sözde oturuma karşı ekstra koruma sağlar. tekrarlama saldırıları, ancak bu ayrıntıları burada göz ardı edeceğiz.)
ortada oturmak
Tahmin edebileceğiniz gibi, saldırgan sizi sahte sunucularına "oturum açmaya" çalışmanız için kandırabilir (ya bubi tuzaklı e-postayı okuduğunuzda ya da daha kötüsü, siz bir e-posta bile almadan önce Outlook onu sizin adınıza işlemeye başladığında). ne kadar sahte göründüğüne bir göz atın), sonunda tek, geçerli bir NTLM2 yanıtı sızdırırsınız.
Bu yanıt, diğer uca yalnızca size ait olduğunu iddia ettiğiniz hesabın parolasını gerçekten bildiğinizi değil, aynı zamanda (karıştırılan meydan okuma verileri nedeniyle) önceki bir yanıtı yeniden kullanmadığınızı da kanıtlamayı amaçlamaktadır. .
Bu nedenle, Microsoft'un uyardığı gibi, işleri doğru zamanlayabilen bir saldırgan, parolanızı veya hash'ini bilmeden, yalnızca gerçek sunucudan 8 baytlık bir başlangıç sorgulaması almak için sizin gibi gerçek bir sunucuda kimlik doğrulaması yapmaya başlayabilir...
…ve sahte sunucularına giriş yapmaya çalışırken kandırıldığın anda bu meydan okumayı sana geri ilet.
Daha sonra anahtarlı karmayı hesaplar ve "şu anda kendi parolamı bildiğimin kanıtı" olarak geri gönderirseniz, dolandırıcılar bu doğru hesaplanmış yanıtı sızmaya çalıştıkları gerçek sunucuya geri iletebilir ve böylece o sunucuyu onları sizmişsiniz gibi kabul etmesi için kandırmak.
Kısacası, kesinlikle buna karşı yama yapmak istersiniz, çünkü saldırı çok fazla deneme, zaman ve şans gerektirse ve işe yarama olasılığı çok düşük olsa bile, bunun bir vaka olduğunu zaten biliyoruz. “İstismar Tespit Edildi”.
Başka bir deyişle, saldırı işe yarayabilir ve kendileri de riskli veya yanlış hiçbir şey yapmayan masum bir kurbana karşı en az bir kez başarılı olmuştur.
SmartScreen güvenlik atlama
İkinci sıfır gün CVE-2023-24880, ve bu hemen hemen açıklar kendisi: Windows SmartScreen Güvenlik Özelliği Güvenlik Açığı Atlama.
Basitçe söylemek gerekirse, Windows genellikle internet üzerinden gelen dosyaları “Bu dosya dışarıdan geldi; ona çocuk eldivenleriyle davran ve ona fazla güvenme.”
Bu nereden geldiği bayrağı, bir dosyanın adı olarak bilinirdi. İnternet Bölgesi tanımlayıcıdır ve daha sonra kullanıldığında Windows'a o dosyanın içeriğine ne kadar (veya ne kadar az) güvenmesi gerektiğini hatırlatır.
Bu günlerde Bölge Kimliği (değeri ne olursa olsun, 3'lük bir kimlik "internetten" anlamına gelir) genellikle daha dramatik ve akılda kalıcı adla anılır Web İşaretiya da MotW kısaca.
Teknik olarak, bu Bölge Kimliği, dosyayla birlikte bir dosya olarak bilinen yerde saklanır. Alternatif Veri Akışıya da ADS, ancak dosyalar yalnızca NTFS biçimli Wiindows disklerinde depolanıyorlarsa ADS verilerine sahip olabilir. Örneğin, bir dosyayı FAT birimine kaydederseniz veya NTFS olmayan bir sürücüye kopyalarsanız, Bölge Kimliği kaybolur, bu nedenle bu koruyucu etiket bir şekilde sınırlıdır.
Bu hata, dışarıdan gelen bazı dosyaların (örneğin, indirmeler veya e-posta ekleri) doğru MotW tanımlayıcısıyla etiketlenmediği ve bu nedenle Microsoft'un resmi güvenlik kontrollerini sinsice atlattığı anlamına gelir.
Microsoft'un kamu bülteni tam olarak ne tür dosyaların (resimler? Office belgeleri? PDF'ler? hepsi?) bu şekilde ağınıza sızabileceğini söylemez, ancak çok geniş bir şekilde şu uyarıda bulunur: "Microsoft Office'te Korumalı Görünüm gibi güvenlik özellikleri" bu hile ile baypas edilebilir.
Bunun, örneğin yerleşik makro kodu bastırılarak genellikle zararsız hale getirilen kötü amaçlı dosyaların görüntülendiğinde veya açıldığında beklenmedik bir şekilde canlanabileceği anlamına geldiğini tahmin ediyoruz.
Bir kez daha, güncelleme sizi saldırganlarla aynı seviyeye getirecek, yani Ertelemeyin/Bugün Yama Yapın.
Ne yapalım?
- Yapabildiğiniz kadar çabuk yama yapın, az önce yukarıda söylediğimiz gibi.
- Tam Oku SophosLabs analizi bu hataların ve 70'den fazla diğer yamaların, hala ikna olmadıysanız diye.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :dır-dir
- $UP
- 1
- 2023
- 70
- 8
- a
- Yapabilmek
- Hakkımızda
- yukarıdaki
- kesin
- taciz
- erişim
- Hesap
- aktif
- aslında
- Ek
- Ekler
- İlanlarım
- karşı
- önde
- Türkiye
- zaten
- arasında
- ve
- Başka
- cevap
- ARE
- AS
- At
- saldırı
- saldırılar
- kimlik doğrulaması
- Doğrulama
- yazar
- Oto
- otomatik olarak
- mevcut
- Arka
- background-image
- temel
- BE
- Çünkü
- önce
- Bit
- sınır
- İki taraf da
- Alt
- getirmek
- geniş
- Böcek
- böcek
- yerleşik
- by
- çağrı
- CAN
- dava
- Sebeb olmak
- Merkez
- meydan okuma
- zorluklar
- Çekler
- iddia
- müşteri
- kod
- tesadüf
- renk
- nasıl
- hesaplamak
- bilgisayar
- bağlantı
- bağ
- içerik
- kontrol
- olabilir
- kapak
- akım
- siber suçluların
- veri
- Günler
- kesinlikle
- ayrıntılar
- DID
- keşfetti
- ekran
- evraklar
- Değil
- domain
- Alan Adı
- Dont
- indirme
- dramatik
- sürücü
- dublajlı
- sırasında
- ya
- E-posta
- e-postalar
- acil durum
- Hatta
- hİÇ
- Her
- kesinlikle
- örnek
- mevcut
- Açıklamak
- sömürmek
- istismar
- sömürülen
- dış
- ekstra
- adil
- sahte
- Yağ
- Özellikler(Hazırlık aşamasında)
- Özellikler
- Şubat
- Figürlü
- fileto
- dosyalar
- Firefox
- Ad
- kusur
- şu
- İçin
- bulundu
- itibaren
- tam
- almak
- verilmiş
- belirti
- Go
- olmuş
- esrar
- Var
- sahip olan
- yükseklik
- okuyun
- Delikler
- umut
- duraksamak
- Ne kadar
- Nasıl Yapılır
- HTTPS
- i
- ID
- tanımlayıcı
- görüntüleri
- in
- olay
- olay yanıtı
- Dahil olmak üzere
- İstihbarat
- Internet
- IT
- ONUN
- kendisi
- anahtar
- Çocuk
- Bilmek
- bilme
- bilinen
- etiket
- Soyad
- öncülük etmek
- sızıntı
- uzunluk
- hayat
- sevmek
- Muhtemelen
- Sınırlı
- küçük
- yer
- Bakın
- şans
- Makro
- yapılmış
- yapmak
- Mart
- Kenar
- maksimum genişlik
- anlamına geliyor
- Microsoft
- olabilir
- karışık
- Karıştırma
- an
- Ay
- Daha
- çoğu
- MOTW
- isim
- ağ
- normal
- sayılar
- of
- Office
- resmi
- Eski
- on
- ONE
- açıldı
- Diğer
- Görünüm
- dışında
- kendi
- bölmesi
- Parti
- Şifre
- Patch
- yama Salı
- Yamalar
- Paul
- Platon
- Plato Veri Zekası
- PlatoVeri
- pozisyon
- Mesajlar
- gerek
- tam
- güzel
- Önizleme
- önceki
- prensip
- Proaktif
- İşlenmiş
- işleme
- ilerici
- korumalı
- koruma
- Koruyucu
- Kanıtlamak
- koymak
- rasgele
- rasgelelik
- daha doğrusu
- Okumak
- gerçek
- Referans
- cevap
- Bildirilen
- gerektirir
- yanıt
- Riskli
- kabaca
- Adı geçen
- aynı
- İndirim
- diyor
- İkinci
- güvenlik
- gönderme
- hizmet
- Oturum
- kısa
- meli
- Yüzler
- tek
- So
- katı
- biraz
- biraz
- özel olarak
- bahar
- başlama
- XNUMX dakika içinde!
- başlar
- Yine
- saklı
- Daha sonra
- Başarılı olarak
- böyle
- SVG
- takım
- o
- The
- ve bazı Asya
- Onları
- Bunlar
- işler
- Bu yıl
- tehdit
- zaman
- için
- çok
- üst
- transit
- geçiş
- şeffaf
- tedavi etmek
- Güven
- Salı
- türleri
- Ukrayna
- altında yatan
- Güncelleme
- Güncellemeler
- URL
- us
- kullanıcı
- genellikle
- doğrulamak
- üzerinden
- Kurban
- Görüntüle
- hacim
- güvenlik açığı
- Uyardı
- Yol..
- Ne
- hangi
- DSÖ
- genişlik
- Vahşi
- irade
- pencereler
- ile
- olmadan
- sözler
- İş
- çalışır
- değer
- olur
- Yanlış
- yıl
- Sen
- zefirnet
- sıfır