Bu Salı, 2023-07-11, Microsoft'un yama Salı Temmuz 2023 için, işte iki şey yapmanız için kısa bir hatırlatma:

• Erken yama, sık yama.

Bu ay 100'den fazla güvenlik açığı yamalandı, bunlara çalışan açıklardan yararlanma kodunun zaten mevcut olduğu dört sıfır gün güvenlik açığı da dahildir.

Salı gününe kadar herkes risk altında olsa da gereğinden fazla risk altında kalan insanlardan biri olmamak önemlidir.

Savunmacılar, siber suçluların zaten suistimal ettiği boşlukları kapattığında, bir şeyi varsaymalısınız: Bu dolandırıcılar, son "değeri" elde etmek için dikkatlerini artık yamalı saldırıların hâlâ etkili olduğu başıboş kişilere odaklayacaklar. eski sıfır gün delikleri.

• Yamalarla ilgili resmi ayrıntılar için kardeş sitemiz Sophos News'e gidin.

Microsoft'un resmi verilerine dayanan kaçınılmaz olarak uzun bir liste yayınladık. gezinmene yardım et etkilenen çok sayıda ürün ve hizmetle ilgili birçok CVE numarası ve hata açıklamaları aracılığıyla.

bilgileri bulacağınızı düşünüyoruz. çalışmak daha kolay, bir başlangıç ​​noktası olarak, Redmond'un kendi tablolarından ve çizelgelerinden daha fazla.

Biz de yayınladık derinlemesine makale hakkında devam eden güvenlik sorunu bir Microsoft Danışma Belgesinde (ADV230001).

Birçoğu Microsoft'un kendisi tarafından imzalanıp onaylanan ve sonunda Windows tarafından engellenen kötü amaçlı çekirdek sürücülerinin devam eden efsanesi hakkında size önemli, ilginç ve bilgilendirici ayrıntılar verdik.

İki hızlı paket servis

Yukarıda da belirttiğimiz gibi, hakkında bilgi edinebilirsiniz. bu ayın Microsoft güvenlik düzeltmeleri Sophos News'te, ancak bu ayki yama setinin burada ele almayı düşündüğümüz iki bölümü var.

İlk önemli madde, bu kişilerin meselesidir. dört sıfır gün zaten bahsettiğimiz.

CVE-2023-32049 ve CVE-2023-35311, güvenlik atlama istismarlarıdır, yani suçlular, kötü amaçlı yazılım bulaşmasını veya olası bir saldırıyı önlemenize yardımcı olmak için normalde devreye girecek olan güvenlik korumalarından kaçınmak için bu hataları kötüye kullanabilir.

Bunların arasında, bu hatalar suçluların size tarayıcınızda bubi tuzağına düşmüş web URL'leri veya Outlook'ta genellikle size riskleri hatırlatan ve kurtarma şansı veren bir uyarı veren kötü amaçlı e-posta içeriği sunmasına olanak tanır. ve kendinizi koruyun…

…bu uyarılar hiç görünmeden.

Bu, bir yabancının yalnızca bir web sayfasını görüntüleyerek veya belirli bir ağ hizmetini başlatarak sizi kandırıp hileli bir program çalıştırmanız için kandırabileceği gerçek bir uzaktan kod yürütme (RCE) deliği kadar tehlikeli olmasa da, güvenlik açıklarının neden olduğunu görebilirsiniz. bu tür siber suçlular için altın tozudur.

Kullanıcıların beklediği ve belki de güvendiği güvenlik uyarılarını atlama, bilgili ve dikkatli kullanıcıları bile maliyetli hatalar yapmaya teşvik etmenin basit ve etkili bir yolunu sağlar.

Ayrıca iki sıfır günlük ayrıcalık yükseltme (EoP) istismarı için yamalar vardır.

EoP istismarları, halihazırda ağınızda bulunan ancak çok fazla zarar verme veya çok fazla veri çalma yeteneği olmayan dolandırıcıların kendilerini sysadmin düzeyine yükseltebilecekleri ve böylece kendilerine "tüm alanlara erişim" güvenlik rozetleri verebilecekleri anlamına gelir.

Tehlikeli sürücü sorunları

İkinci önemli konu ise, ADV230001, Microsoft'un danışma belgesi başlıklı Kötü amaçla kullanılan Microsoft imzalı sürücüler hakkında rehberlik.

Bu destan, 2022'nin sonlarında, Sophos araştırmacılarının eskisi kadar sık ​​görmediğiniz bir şeyle karşılaşmasıyla başladı: hileli Windows çekirdek sürücüleri:

Çekirdek sürücüleriyle ilgili harika olan şey, üçüncü taraf yazılımların, ezoterik bilgisayar donanımını desteklemek, ek siber güvenlik koruması sağlamak, başka türlü görünmeyen ayrıntıları izlemek ve yönetmek gibi işletim sisteminin en alt düzeylerinde yararlı bir şekilde yer alması için bir yol sağlamasıdır. bellek tahsisi ve kaynak kullanımı ve daha fazlası.

Örneğin, çekirdek düzeyinde bir virüsten koruma programı, her program çalışmadan önce devreye girebilir ve yalnızca raporlamakla kalmaz, aynı zamanda hileli yazılımların yüklenmesini aktif olarak engeller.

Çekirdek sürücüleriyle ilgili çok da iyi olmayan şey, aynı süper düşük seviyeli, çok tehlikeli ve potansiyel olarak yıkıcı yetenekleri kötü amaçlı yazılım yaratıcılarına ve siber suçlulara da sunmalarıdır.

Gerçekten de, genellikle çekirdek düzeyinde kötü amaçlı yazılım araçları olarak bilinir. rootkit, aynı türden düşük seviyeli sihri ters yönde çalıştırabilir; örneğin, bilinen-kötü programları izleyerek ve bunların engellenmesini en başta önleyerek ve hatta onları tarama araçları, dizin listeleme yazılımı ve envanter için görünmez hale getirerek. - başvuruların alınması.

Adı rootkit erken Unix kötü amaçlı yazılımından gelir ve bir fikri referans alır. malzeme ilk etapta yalnızca yönetici düzeyinde erişim elde etmenize yardımcı olmakla kalmayan (olarak bilinen) yazılım araçları kök Unix ve Unix benzeri sistemlerde), aynı zamanda mümkün olduğu kadar uzun süre fark edilmeden gitmek.

Sürücü kısıtlaması

Windows XP'de rootkit'lerin çoğalması ve kötüye kullanılmasının bir sonucu olarak Microsoft, Windows Vista'dan başlayarak çekirdek sürücülerini kısıtlamaya başladı.

Aslında, Güvenli Önyüklemenin etkinleştirildiği Windows'un mevcut sürümlerinde, yalnızca Microsoft'un kendisi tarafından resmi olarak incelenmiş ve dijital olarak imzalanmış çekirdek sürücülerini yükleyebilirsiniz. (Bu kuralın istisnaları vardır, ancak bugün bir çekirdek sürücüsünü incelenmek üzere Microsoft'a göndermeden kolayca oluşturamaz ve yükleyemezsiniz.)

İsteksiz de olsa, Apple'ın App Store ve Google'ın Play Store'u gibi kod doğrulama hizmetlerinin, hedeflerinin çok sayıda üçüncü taraf uygulamasını hızlı, otomatik ve nesnel bir şekilde incelemek ve onaylamak olduğu göz önüne alındığında, kaçınılmaz olarak kötü amaçlı yazılımlara karşı geçirgen olacağını kabul edebilirsiniz.

...tehlikeli güçleri ve normal uygulamalarla karşılaştırıldığında nispeten nadirlikleri göz önüne alındığında, çekirdek sürücülerinin Windows inceleme sürecinden gizlice geçmenin neredeyse imkansız olmasını bekleyebilirsiniz.

Bununla birlikte, geçen Aralık ayında SophosLabs tarafından yapılan hileli sürücü keşifleri, nihayetinde bir önemli liste Microsoft'un kendisi tarafından "kişisel olarak" imzalanmış 100 sürücü de dahil olmak üzere çekirdek düzeyinde kötü amaçlı yazılım.

Microsoft onaylı hileli sürücülerden 68'i, işletim sisteminin gücünü ve yetkisini kötüye kullanarak güvenlik yazılımlarını "alttan" öldürmeyi amaçlayan anti-virüs araçlarıydı.

Geri kalanlar, işletim sistemi içindeki verileri gözetlemeyi ve manipüle etmeyi amaçlayan daha genel rootkit'lerdi; burada çalışan her programa giden ve bu programdan gelen bireysel ağ paketleri kadar mahrem bilgiler gözetlenebilir, gözetlenebilir ve sinsice değiştirilebilir.

Bu yanlış imzalanmış suç yazılımı sürücülerinin büyüleyici geçmişi hakkında daha fazla bilgi edinmek için lütfen başlıklı makalemizi okuyun. Microsoft, Yama Salı Ayırma'daki kötü amaçlı sürücüleri iptal etti:

Ne yapalım?

Biraz farklı kelimelerle de olsa en üstte söyledik: ertelemeyin; Bugün yap.

Kendi bilgisayarınızdan siz sorumluysanız şu adrese gidin: Ayarlar > Windows Update > güncelleştirmeleri denetleyin güncel olup olmadığınızı görmek için.

Güncellemelerin siz bilgisayarınızı yeniden başlatana kadar tamamlanmayacağını unutmayın, bu yüzden bunu daha sonra değil daha erken yapmayı hedefleyin.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://nakedsecurity.sophos.com/2023/07/12/microsoft-patches-four-zero-days-finally-takes-action-against-crimeware-kernel-drivers/