Microsoft’un Temmuz 2020 için yayımlanan Patch Tuesday (Her ayın 2. Salısı yayınlanan güvenlik yamalarına verilen isim) güvenlik güncelleştirmeleri, 18’i kritik olarak derecelendirilmiş ve uzaktan kod yürütülmesine neden olabilecek 123 güvenlik açığını gideriyor.
Kritik güvenlik açıkları Windows’u, .NET Framwork, Internet Explorer, SharePoint, Visual Studio, Office ve Hyper-V’yi etkiler. Bu ay yamalanmış hataların hiçbiri saldırılarda kullanılmamış gibi görünüyor, ancak bir sorun, Windows SharedStream Kitaplığını etkileyen önemli bir önem ayrıcalık yükselmesi zayıflığı, bir düzeltme yayınlanmadan önce kamuya açıklanmıştı.
Bu ay yamanan güvenlik açıklarının en ciddisi , Windows DNS sunucularını etkileyen ve kimliği doğrulanmamış bir saldırganın sunucuya özel hazırlanmış istekler göndererek yerel sistem hesabı bağlamında rasgele kod çalıştırmasına izin veren CVE-2020-1350 gibi görünüyor .
Microsoft bu güvenlik açığını tehlikeli olarak nitelendirdi ve kullanıcılara yüksek sömürü riski nedeniyle düzeltme ekini en kısa sürede yüklemelerini önerdi.
Microsoft açıklamasında “Bunu solucanlara uygun bir güvenlik açığı olarak görüyoruz, bu da kullanıcı etkileşimi olmadan savunmasız bilgisayarlar arasında kötü amaçlı yazılım yoluyla yayılma potansiyeline sahip olduğu anlamına geliyor. DNS temel bir ağ bileşenidir ve genellikle Etki Alanı Denetleyicilerine yüklenir, bu nedenle bir uzlaşma önemli hizmet kesintilerine ve üst düzey etki alanı hesaplarının güvenliğinin aşılmasına yol açabilir. ”dedi.
Çeşitli siber güvenlik şirketlerinden uzmanlar bu ayın yamaları hakkında yorum yaptı:
Dustin Childs, İletişim Müdürü, ZDI:
“CVE-2020-1350’yi mümkün olan en kısa sürede yamalayın! Bu düzeltme eki, etkilenen bir sistem özel hazırlanmış bir istek aldığında Windows DNS Sunucusu hizmetindeki Yerel Sistem hesabı düzeyinde kimliği doğrulanmamış kod yürütülmesine izin verebilecek bir CVSS 10 dereceli hatayı düzeltir. Bu hatayı en azından etkilenen DNS sunucuları arasında kötüleştirir. Microsoft ayrıca, sunucunun geçici çözüm olarak işleyeceği TCP paketlerinin boyutunu sınırlayan bir kayıt defteri düzenlemesi önerir, ancak bu kayıt defteri değişikliğinin olası yan etkilerini listelemez. Saldırı vektörü çok büyük DNS paketleri gerektirdiğinden, UDP üzerinden saldırı yapılamaz.
Ayrıca bu ay yamalı 14 bilgi açıklama hatası var. Bu yamalardan ikisi Skype for Business içindir ve Skype profil verilerini veya kullanıcının diğer kişisel bilgilerini ifşa edebilir.
Sürüm, LNK dosyaları için başka bir yama içerir. Bunun bu yıl ele alınması gereken dördüncüsü olduğu düşünüldüğünde, ilk üçünden birinin altta yatan güvenlik açığını tamamen çözmediği görünüyor.
Sürüm, birkaç siteler arası komut dosyası hatası ve Hizmet Reddi (DoS) hataları için yamalar içerir. DoS hatalarına Bond’un .NET uygulamasının yeni bir sürümü dahildir. Açık kaynaklı yazılımlar için Microsoft düzeltme eklerini görmek tuhaf ama hoş bir olay. ”
Rapid7 kıdemli yazılım mühendisi Richard Tsang:
“Bu Salı Yamasının yıldızı CVE-2020-1350, Windows DNS Sunucusu hizmetini çalıştıran Windows Sunucularında güvenilir bir güvenlik açığıdır. Bu güvenlik açığı Windows Server 2008 ve Windows Server 2008 R2 gibi ESU sunucularını içerir, ancak Windows DNS Sunucusu hizmetini çalıştırabilen desteklenen tüm Windows Server sürümlerini etkiler.
Dikkat edilmesi gereken bir diğer güvenlik açığı CVE-2020-1374’tür. Bu, Windows Uzak Masaüstü İstemcisi’nin kötü amaçlı bir sunucuya bağlanan bir güvenlik açığı sürümünün bir saldırganın tam kullanıcı haklarına sahip olduğu gibi davranmasına izin verebileceği bir Uzak Masaüstü İstemcisi uzaktan kod yürütme güvenlik açığıdır. Biraz sosyal mühendislik veya Ortadaki Adam saldırısı kullanarak, Windows 7’den Windows 10’un (2004) en son sürümüne kadar etkileyici olabilir.
Jay Goodman, Stratejik Ürün Pazarlama Müdürü, Automox:
“Başlangıç olarak, CVE-2020-1147, 1421 ve 1403, Windows .NET framework, LNK ve VBScript’teki uzaktan kod yürütme güvenlik açıklarıdır. Bu üç hizmet Windows işletim sistemleri arasında oldukça yaygındır. .NET güvenlik açığı, çerçevenin her sürümünü Microsoft OS’nin hemen hemen her çeşidinde 2.0’a kadar etkiler. Bu hizmetlerin ortak özelliği, rakiplerin potansiyel olarak geniş kapsamlı bir saldırı yapmasını sağlar. DirectWrite ve GDI + (CVE-2020-1409 ve CVE-2020-1435) ve PerformancePoint Hizmetlerinde (CVE-2020-1439) ek uzaktan kod yürütme güvenlik açıkları bulundu. DirectWrite ve GDI +, Microsoft tarafından sağlanan ve Chrome gibi üçüncü taraf tarayıcılar tarafından yaygın olarak kullanılan metin düzeni ve oluşturma API’larıdır.
Uzaktan Kod Yürütme güvenlik açıkları, saldırganların bir sisteme erişmesine ve içeriği okumasına veya silmesine, değişiklik yapmasına veya doğrudan sistemde kod çalıştırmasına olanak tanır. Bu, bir saldırgana yalnızca kuruluşunuzun verilerine değil, aynı zamanda ortamınızdaki diğer aygıtlara karşı ek kötü amaçlı saldırılar gerçekleştirmek için de bir platform sağlar. LNK, VBScript ve .NET Framework gibi hizmetler birçok Windows sisteminde oldukça yaygındır. Bu, saldırganlara erişim sağlandıktan sonra kolayca anlaşmak ve yanal olarak hareket etmek için çok sayıda potansiyel hedef verir.
David Carver, Yönetici, Insikt Group:
“Bu Salı Yamasının ilgili özelliklerinden biri, çok çeşitli yaygın olarak kullanılan Microsoft ürünlerini etkileyen açıklanan RCE güvenlik açıklarının sayısıdır. Örneğin, CVE-2020-1374, Windows Uzak Masaüstü İstemcisi’ndeki bir kusura dayalı uzaktan kod yürütülmesine izin verir, bir kullanıcıyı kötü amaçlı bir sunucuyu ziyaret etmeye ikna ederek kullanılabilir ve Windows 7 ile 10 ve Windows Server 2008 ile 2019 arasındaki sürümleri etkiler.
Aynı ürün yelpazesini etkileyen diğer RCE güvenlik açıkları arasında Windows Adres Defteri’ni etkileyen ve kötü amaçlı bir vcard dosyası kullanılarak kullanılabilen CVE-2020-1410; .LNK dosyalarını etkileyen ve kötü amaçlı çıkarılabilir sürücü veya uzaktan paylaşım yoluyla kullanılabilen CVE-2020-1421; ve sırasıyla Windows Grafik Aygıt Arabirimi ve Windows yazı tipi kitaplığını etkileyen ve her ikisi de kötü amaçlı bir bağlantı veya belge aracılığıyla kullanılabilen CVE-2020-1435 ve CVE-2020-1436. ”
Erez Yalon, Güvenlik Araştırma Direktörü, Checkmarx:
“Microsoft’un en son Yama Salı güncellemesi, DNS sunucuları (CVE-2020-1350), Microsoft Office (CVE-2020-1458), Outlook (CVE-2020-1349), ve .NET Framework ve Visual Studio (CVE-2020-1147) gibi geliştirme araçları dahil olmak üzere giriş noktalarını kapsayan Uzaktan Kod Yürütme (RCE) güvenlik açıkları için çeşitli düzeltmeler getiriyor.
RCE veya güvenlik açığı bulunan bir sistemde kod çalıştırabilmek, göründüğü kadar tehlikelidir. RCE aracılığıyla, bir saldırgan verileri yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir. Bu saldırı yöntemi, siber suçlulara daha karmaşık saldırıların anahtarlarını veren bir kuruluşun giriş noktası olabilir. Önemli bir kullanıcı veya sistemden yararlanırsa, aynı zamanda bir kişi veya kuruluş için ‘oyun bitti’ anlamına da gelebilir.
Özellikle, geliştirici araçlarındaki RCE güvenlik açıkları – bu ay .NET Framework ve Visual Studio programlarında görüldüğü gibi – bir saldırganın, kaynak kodlara ve potansiyel olarak üretim ortamlarına erişimi olan bir kullanıcının bilgisayarını ele geçirmesine izin verebilir, ve potansiyel olarak üretim ortamlarında bir organizasyonun fikri mülkiyet hakları söz konusudur.
Genel olarak, bu ayın yamaları RCE güvenlik açıklarının bugün hâlâ çok yaygın olduğunu ve bireylerin güçlü güvenlik duruşunu korumak için etkilenen tüm Microsoft ürün ve hizmetlerini hemen güncellemeleri gerektiğini gösteriyor. ”