• Güvenlik-Microsoft Ürün Ailesi-Windows 10-Windows 2008-Windows 2012-Windows 2016-Windows 2019-Windows 7-Windows 8Yorum yapılmamış

    bluekeep

    Microsoft çok kötü bir haber aldı: Windows 10 kullanıcılarını etkileyen RDP açıkları bildirildi.

    CVE-2019-1181 ve -1182, Uzak Masaüstü Hizmetlerinde bulunan ve kişilerin zaten oluşturduğu BlueKeep güvenlik açığına benzer şekilde, endişe verici kritik güvenlik açıklarıdır. Bu tehditin teorik olarak yalnızca bir bilgisayara girmek için değil, aynı zamanda kendisini oradan dışarıya yaymak için kullanılabileceği anlamına gelmektedir.

    Microsoft’un RDS ‘i kuvvetlendirirken bulduğu bu yeni güvenlik açıkları, RDS ‘e özel hazırlanmış bir uzak masaüstü protokolü (RDP) iletisi göndererek kullanıcı etkileşimi olmadan kullanılabilir. İçeri girdiğinde, bir saldırgan programları yükleyebilir, verileri değiştirebilir veya silebilir, tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir ve daha fazlasını yapabilir. CVE-2019-1222 ve -1226 da bu kusurları ele almaktadır.

    Bu RDP güvenlik açığı aşağıdakiler dahil olmak üzere BlueKeep ‘ten daha fazla Windows sürümünü etkilemektedir: Windows 7 SP1; Windows 8.1; Windows 10; Windows Server 2008 R2 SP1, Windows Server 2012, Windows Sunucu 2012 R2, Windows Server 2016 ve Windows 2019.

    Microsoft, bu güvenlik açıklarının henüz tehdit ortamlarında kullanılmadığını, ancak müşterilere hızlı bir şekilde patch geçerek sorunun önüne geçmeye çalıştıklarını iletti: Etkilenen sistemlerin, bu gibi kötü niyetli güvenlik açıklarıyla ilişkili yüksek riskler nedeniyle olabildiğince çabuk eklenmesi önemlidir ve bunlar için indirmeler Microsoft Güvenlik Güncelleştirmesi Kılavuzu ‘nda bulunabilir.

    Ağ düzeyinde kimlik doğrulaması (NLA) olan bilgisayarlar kısmen korunur, çünkü sahtekarların bir talepte bulunmadan önce kimlik doğrulaması yapmaları gerekir; bu, bir saldırının NLA etkin sistemlerde insan etkileşimi olmadan yayılmayacağı anlamına gelir.

    Microsoft, Internet Explorer’ın komut dosyası altyapısında (CVE-2019-1133 ve -1194) bir uzaktan kod yürütme (RCE) güvenlik açığı da dahil olmak üzere, bu Düzeltme Eki Salı günü bazı diğer önemli hataları giderdi. Saldırganlar bu hatayı özel hazırlanmış bir web sitesi aracılığıyla veya Internet Explorer görüntü oluşturma motorunu kullanan herhangi bir MS Office programına “Güvenli kullanım için” işaretli kötü amaçlı bir ActiveX denetimi göndererek kullanabilirler.

    Edge kullanıcıları da bedavaya kaçamadılar. Bu Chakra Scripting Engine ‘de benzer bir hata (CVE-2019-1131, -1139 ila -1141 ve CVE-2019-1195 ila -1197) bulunmaktadır. Geçerli kullanıcı bağlamında uzaktan kod yürütülmesine izin verir ve kötü amaçlı web siteleri aracılığıyla sömürülebilir.

    Microsoft, Hyper-V ağ denetleyicisindeki kötü girdi doğrulamasını kullanan ve konuk işletim sisteminde çalışan kötü amaçlı bir uygulamadan yararlanabilecek olan Hyper-V hipervizöründe (CVE-2019-0720) kritik bir RCE hatası düzeltmiştir. Ayrıca Hyper-V’de yamayla ilgili bazı hizmet reddi hataları (DoS) da var.

    CVE-2019-0736, -0965 ve -1213, Windows DHCP sunucusundaki bir saldırganın bir istemciye kötü niyetli DHCP yanıtları göndererek yararlanabileceği RCE hataları iken, CVE-2019-1188 Windows dosyalarının işleyişindeki bir kusurdur. bir .LNK uzantısı ile. LNK dosyaları yürütülebilir dosyaları gösterir, ancak hatalı işlem yapılması uzaktan kod yürütülmesine izin verir. Saldırganlar bu hatayı çıkarılabilir sürücüler veya uzak paylaşımlar yoluyla kullanabilirler.

    Windows’un yazı tiplerini işleme biçimindeki (CVE-2019-1145 ve -1149 ila -1152) kusurları, bir saldırganın bir web sitesinde veya dosyada kötü amaçlı hazırlanmış yazı tiplerini sistemde uzaktan kod yürütmesine izin verir.

    Microsoft Office’te de bazı hatalar vardı. Outlook’un bellekteki nesneleri işleme biçimindeki bir kusur (CVE-2019-1199-1200), bir saldırganın e-posta veya web sitesi aracılığıyla gönderilen kötü amaçlı bir dosyayı kullanarak uzaktan kod yürütebileceği anlamına gelir. Outlook’un önizleme bölmesi, Microsoft Word’de (CVE-2019-1201 ve -1205) kötü amaçlı hazırlanmış Word belgelerinin uzaktan kod yürütülmesine izin veren bir hata için olduğu gibi, burada bir saldırı vektörüdür.

    Gruptaki son kritik hata, Windows VBScript Engine’de kötü amaçlı web sitelerinin veya ActiveX nesnelerinin hedef sistemde uzaktan kod yürütülmesini tetiklemesine izin veren bir kusur olan CVE-2019-1183’tür. Ancak, Microsoft tarayıcı tabanlı VBScript’ten kurtulma sürecinde ve şu anda bu güncelleştirmelerde Internet Explorer 11’de varsayılan olarak kapatmıştır.

    Kaynak: https://nakedsecurity.sophos.com/2019/08/14/microsoft-warns-of-new-worm-ready-rdp-bugs/

    Uğur BAYBUĞA

    Network Specialist

    Latest posts by Uğur BAYBUĞA (see all)

    Yorum yapan ilk sen ol.

    Bir yorum ekle