Ekim 2023 için Microsoft Patch Tuesday güvenlik güncellemeleri, Microsoft Windows ve Windows Components; Exchange Server; Office ve Office Components; ASP.NET Core ve Visual Studio; Azure; Microsoft Dynamics; ve Skype for Business’ta toplam 103 güvenlik açığını ele aldı. Microsoft tarafından düzeltilen kusurlardan üçü aktif olarak istismar edilen güvenlik açıklarıydı.
BT devi tarafından ele alınan 103 açıktan 13’ü Kritik, 90’ı ise Önemli olarak derecelendirilmiştir. Düzeltilen güvenlik açıklarının sayısı bu yılın en büyük ikinci ayı oldu.
Bugünkü güncellemelerde aktif olarak kullanılan üç sıfır-gün (zero-day) güvenlik açığı şunlardır:
CVE-2023-36563 – Microsoft WordPad’de Bilgi İfşası Güvenlik Açığı
Bir saldırgan bu sorundan yararlanarak NTLM karmalarını (hash) ifşa edebilir.
“Bu güvenlik açığından yararlanmak için bir saldırganın öncelikle sistemde oturum açması gerekir. Saldırgan daha sonra güvenlik açığından yararlanabilecek ve etkilenen sistemin kontrolünü ele geçirebilecek özel olarak hazırlanmış bir uygulamayı çalıştırabilir. Ayrıca, bir saldırgan yerel bir kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna edebilir. Saldırganın kullanıcıyı, genellikle bir e-posta ya da anlık mesajda yer alan bir bağlantıya tıklamaya ikna etmesi ve ardından özel olarak hazırlanmış dosyayı açmaya ikna etmesi gerekir.”
Saldırgan NTLM karmalarını elde ettikten sonra bunları kırabilir.
CVE-2023-41763 – Skype Kurumsal’da Ayrıcalık Yükseltme Güvenlik Açığı
Bir saldırgan, bazı hassas bilgileri (Gizlilik) görüntülemek için bu kusurdan yararlanabilir, ancak etkilenen bileşen içindeki tüm kaynaklar açığa çıkmayabilir.
Bu güvenlik açığından yararlanmak, NTLM karmalarının ifşa edilmesine izin verebilir.
CVE-2023-44487 – HTTP/2 protokolü hizmet reddi kusuru, Ağustos 2023’ten bu yana vahşi ortamda (wild) istismar edilmektedir.
Ele alınan kusurların tam listesine buradan ulaşabilirsiniz:
https://www.zerodayinitiative.com/blog/2023/10/10/the-october-2023-security-update-review
