Sıfır gün güvenlik açıkları, Trend Micro’nun Sıfır Gün Girişimi (ZDI) tarafından dün açıklandı ve 7 ve 8 Eylül 2023’te Microsoft’a bildirildi.
Microsoft’un raporları kabul etmesine rağmen güvenlik mühendisleri kusurların anında hizmet verilmesini garanti edecek kadar ciddi olmadığına karar vererek düzeltmeleri sonraya erteledi.
ZDI bu cevaba karşı çıktı ve Exchange yöneticilerini güvenlik riskleri konusunda uyarmak için kusurları kendi izleme kimlikleri altında yayınlamaya karar verdi.
Kusurların bir özetini aşağıda bulabilirsiniz:
- ZDI-23-1578 – ‘ChainedSerializationBinder’ sınıfında, kullanıcı verilerinin yeterince doğrulanmadığı ve saldırganların güvenilmeyen verileri seri durumdan çıkarmasına olanak tanıyan bir uzaktan kod yürütme (RCE) hatası. Başarılı bir şekilde yararlanma, bir saldırganın Windows’taki en yüksek ayrıcalık düzeyi olan ‘SİSTEM’ olarak rastgele kod yürütmesine olanak tanır.
- ZDI-23-1579 – ‘DownloadDataFromUri’ yönteminde bulunan bu kusur, kaynak erişimi öncesinde bir URI’nin yetersiz doğrulanmasından kaynaklanmaktadır. Saldırganlar, Exchange sunucularındaki hassas bilgilere erişmek için bu durumdan yararlanabilir.
- ZDI-23-1580 – ‘DownloadDataFromOfficeMarketPlace’ yöntemindeki bu güvenlik açığı aynı zamanda hatalı URI doğrulamasından da kaynaklanıyor ve potansiyel olarak bilgilerin yetkisiz olarak ifşa edilmesine yol açıyor.
- ZDI-23-1581 – CreateAttachmentFromUri yönteminde mevcut olan bu kusur, yetersiz URI doğrulamasıyla önceki hatalara benziyor ve yine hassas verilerin açığa çıkması riskini taşıyor.
Tüm bu güvenlik açıklarının kullanımı için kimlik doğrulaması gerekiyor ve bu da CVSS ciddiyet derecesini 7,1 ile 7,5 arasına düşürüyor. Ayrıca, kimlik doğrulama gerektirmek bir azaltıcı faktör ve muhtemelen Microsoft’un hataların düzeltilmesine öncelik vermemesinin nedeni de bu.
Bununla birlikte, siber suçluların Exchange kimlik bilgilerini elde etmek için zayıf şifreleri kaba kuvvetle kullanmak, kimlik avı saldırıları gerçekleştirmek, bunları satın almak veya bilgi hırsızlığı günlüklerinden elde etmek dahil olmak üzere birçok yolu olduğunu da unutmamak gerekiyor.
Yukarıdaki sıfır günlerin, özellikle ZDI-23-1578’in (RCE) önemsiz olarak değerlendirilmemesi gerekiyor; bu durum, sistemin tamamen tehlikeye girmesine neden olabilir.
ZDI, göze çarpan tek azaltma stratejisinin Exchange uygulamalarıyla etkileşimi kısıtlamak olduğunu öne sürüyor. Ancak bu, ürünü kullanan birçok işletme ve kuruluş için kabul edilemeyecek derecede yıkıcı olabilir.
Ayrıca, hesap kimlik bilgileri ele geçirilmiş olsa bile siber suçluların Exchange örneklerine erişmesini önlemek için çok faktörlü kimlik doğrulamanın uygulanmasını da öneriyoruz.
Bir Microsoft sözcüsü, yorum taleplerine aşağıdaki ifadeyle yanıt verdi:
“Bu sorunları koordineli güvenlik açığı açıklaması kapsamında gönderen bu bulucunun çalışmasını takdir ediyoruz ve müşterilerin korunmasına yardımcı olmak için gerekli adımları atmaya kararlıyız.
Bu raporları inceledik ve bunların ya halihazırda ele alındığını ya da önem derecesi sınıflandırma yönergelerimiz kapsamında acil servis çıtasını karşılamadığını tespit ettik ve bunları gelecekteki ürün sürümlerinde ve güncellemelerde uygun şekilde ele almayı değerlendireceğiz. – bir Microsoft sözcüsü”
Ayrıca Microsoft, keşfedilen kusurların her biri hakkında aşağıdaki ek içeriği sağladı:
- ZDI-23-1578 ile ilgili olarak: Ağustos Güvenlik Güncelleştirmelerini uygulayan müşteriler zaten korunmaktadır.
- ZDI-23-1581 ile ilgili olarak: Açıklanan teknik, bir saldırganın e-posta kimlik bilgilerine önceden erişmesini gerektirir ve ayrıcalık yükseltme elde etmek için bu teknikten yararlanılabileceğine dair hiçbir kanıt sunulmamıştır.
- ZDI-23-1579 ile ilgili olarak: Açıklanan teknik, bir saldırganın e-posta kimlik bilgilerine önceden erişmesini gerektirir.
- ZDI-23-1580 ile ilgili olarak: Açıklanan teknik, bir saldırganın e-posta kimlik bilgilerine önceden erişmesini gerektirir ve hassas müşteri bilgilerine erişmek için bu teknikten yararlanılabileceğine dair hiçbir kanıt sunulmamıştır.