Microsoft Güvenlik Açıkları 2023’te %5 Azaldı

BeyondTrust’un yıllık Microsoft Güvenlik Açıkları raporuna göre, Microsoft güvenlik açıklarının sayısı 2023’te büyük ölçüde sabitleşti; ayrıcalık yükseltme ve kimlik saldırıları özellikle yaygınlaştı.

Kimlik ve erişim yönetimi çözümleri şirketi BeyondTrust, Microsoft’un aylık Salı Yaması bültenlerinden 2023’ün en önemli CVE’lerini ve Microsoft güvenlik açığı verilerini inceledi. Raporda güvenlik açığı eğilimleri ve kimlik saldırılarının nasıl azaltılacağına ilişkin ipuçları yer alıyor.

Microsoft 2023’te 1.228 güvenlik açığı bildirdi

Microsoft güvenlik açıklarının toplam sayısı son dört yılda çoğunlukla sabit kaldı; 2023’te bildirilen güvenlik açığı sayısı 1.292’den 1.228’e (%5) hafif bir düşüşle gerçekleşti.

Integral Partners kimlik ve erişim yönetimi teknolojileri direktörü David Morimanno BeyondTrust’a şunları söyledi: “Microsoft’un bilinen güvenlik açıklarını derhal düzeltme çabaları, saldırganların güvenlik açıklarından yararlanma fırsat penceresini azaltarak yeni güvenlik açıklarının keşfedilmesini engelliyor olabilir.” “Ayrıca, MS kod tabanı olgunlaştıkça yeni güvenlik açıkları daha yavaş bir hızda ortaya çıkabilir.”

Kritik Microsoft güvenlik açıklarının (yani NIST’in Ortak Güvenlik Açığı Puanlama Sisteminde 9,0 veya daha yüksek puana sahip olanların) oranı yavaşladı. 2022’de 89’a ve 2020’de beş yılın en yüksek seviyesi olan 196’ya kıyasla 2023’te 84 Microsoft kritik güvenlik açığı vardı.

Microsoft güvenlik açıkları nasıl sınıflandırılır?

Microsoft’un NIST’ten farklı, biraz farklı sayılar üretecek kendi önem derecelendirme sistemi vardır. Örneğin, 2023’teki 33 Microsoft güvenlik açığı, NIST’in puanlama sisteminde kritik olarak sınıflandırıldı, ancak Microsoft’un kendisi 2023’teki 84 güvenlik açığını kritik olarak sınıflandırdı. Microsoft’un sınıflandırma sistemi hala güvenlik açıklarında yıldan yıla hafif bir düşüş yönündeki genel eğilimi yansıtıyor ve ciddi güvenlik açıklarında %6 oranında bir azalma olduğunu gösteriyor.

BeyondTrust, kaydedilen tüm Microsoft güvenlik açıklarının önemli risk oluşturmadığını belirtti; bazıları çoğunlukla teoriktir veya istismar edilseler bile minimum etkiye sahip olabilirler. Ancak bunlardan bazıları, istismar edilmesi durumunda kuruluşa ciddi zararlar verebilir ve bunlar, bir tehdit aktörünün bu güvenlik açığından aktif olarak yararlanıp yararlanmadığına bakılmaksızın Microsoft’un kritik olarak sınıflandırma eğiliminde olduğu öğelerdir.

En yaygın Microsoft güvenlik açığı türleri

2023’te en yaygın güvenlik açığı türleri şunlardı:

• Ayrıcalığın yükselmesi (490).
• Uzaktan kod yürütme (356).
• Bilgi ifşası (124).
• Hizmet reddi (109).
• Sahtekarlık (90).
• Güvenlik hatası bypass’ı (56).
• Kurcalama (3).

Kritik olarak listelenen güvenlik açıklarının çoğu Windows Masaüstü ve Sunucu kategorilerinde bulundu. Bu iki kategori aynı kod tabanına sahiptir, dolayısıyla sayılarının benzer olması şaşırtıcı değildir.

Ayrıcalık yükseltme, 2023’te 490 örnekle en yaygın güvenlik açığı olmasına rağmen, 2022’deki 715 örnekten önemli bir düşüş yaşandı. Özellikle Azure ve Windows Server’da çok daha az ayrıcalık yükselmesi güvenlik açığı görüldü.

BAKIN: Microsoft yakın zamanda güvenlik ürünleri paketinin üretken yapay zeka eklentisi olan Security Copilot’a genel erişim açtı. (TechRepublic)

Uzaktan kod yürütme güvenlik açıkları Azure, Office ve Windows’ta azaldı ancak Windows Server’da arttı.

Hangi tür güvenlik açıklarının hangi Microsoft ürünlerinde ve ne zaman ortaya çıktığına ilişkin ayrıntılar raporun tamamında bulunabilir.

Tehdit aktörleri kimlik tabanlı sızma tekniklerine odaklanıyor

Raporda, “Microsoft’taki güvenlik açıklarının genel sayısı sabitleştikçe ve kritik güvenlik açıklarının sayısı azaldıkça, saldırganların da su gibi en az dirençli yola akacağını ve dikkatlerini kimliklere daha fazla odaklayacağını görüyoruz” ifadesine yer verildi.

Microsoft, parola püskürtmenin etkinleştirdiği kimlik tabanlı sızma nedeniyle ABD federal kurumlarını etkilemiş olabilecek devlet destekli bir ihlal olan Midnight Blizzard saldırısına maruz kaldı.

BT danışmanlık şirketi InGuardians, Inc.’in CEO’su ve CTO’su Jay Beale raporda BeyondTrust’a şunları söyledi: “Midnight Blizzard, ‘Saldırganlar içeri girmez, giriş yaparlar’ şeklindeki popüler atasözünün bir başka örneğiydi.”

Kimlik tabanlı sızma, bir saldırganın bir şekilde meşru oturum açma bilgilerini elde etmesi kadar basittir. Kimlik risklerinin önceden tespit edilmesi zor olabilir ve aşağıdaki yollardan herhangi birinde ortaya çıkabilir:

• Birleştirici, taşıyıcı ve ayrılan süreç.
• Kullanıcı izinleri, hakları, ayrıcalıkları ve rolleri.
• Çok faktörlü kimlik doğrulama veya tek oturum açma gibi yetki kimlik doğrulaması.
• Çalışma süresi boyunca beklemede olan ve çalışan kimlikler ve hesaplar için yetkilendirme.

Raporda, savunucuların daha fazla kimlik tabanlı sızma saldırılarını tespit etmek için ayrıcalıklar, kimlik hijyeni ve kimlik tehdidi tespiti hakkında daha bütünsel düşünmeye başlaması gerektiği tavsiyesinde bulunuldu.

CQURE CEO’su Paula Januszkiewicz BeyondTrust’a şunları söyledi: “Tüm kullanıcılar arasında bir farkındalık ve eğitim kültürünü teşvik etmek çok önemli.” “Genellikle tek başına yapılan bir iş olan bilgisayar korsanlığının aksine, siber güvenlik doğası gereği işbirliğine dayalı bir çabadır. Raporda da tekrarlanan bu bakış açısı, siber güvenliğe insan odaklı bir yaklaşımın önemini vurguluyor.”

Microsoft’un güvenlik açıkları neden azalıyor?

BeyondTrust, Microsoft ürünlerine yönelik risklerin giderek azalmasının bazı olası nedenlerini sıraladı. Yenileme döngüleri devam ediyor ve sonunda desteklenmeyen ve 20 yıla kadar eski olabilecek uzun süredir unutulmuş kodlar aşamalı olarak kullanımdan kaldırılıyor. Özellikle, Microsoft’un 2004 yılında Güvenlik Geliştirme Yaşam Döngüsü’nü başlatmasından önce üretilen ürünler aşamalı olarak tamamen kullanımdan kaldırılıyor. Microsoft’un uzun vadeli güvenlik çabaları meyvesini veriyor olabilir. Bulut teknolojileri olgunlaştı ve artık daha etkili bir şekilde güvence altına alınabiliyor.

BeyondTrust, güvenlik açıklarının azaltılmasındaki başarının bir kısmını Microsoft’un güvenlik araştırma topluluğuyla artan işbirliğine bağladı. Özellikle güvenlik araştırma topluluğu, 2023’te Windows Server’da bulunan uzaktan kod yürütme güvenlik açıklarının çoğunu tespit etti.

Edge için özel bir Microsoft kod tabanı yerine bir Chromium kod tabanı kullanmak ve Internet Explorer desteğini kaldırmak, Edge’deki kritik güvenlik açıklarının örneklerini azaltabilir.

Microsoft, saldırganların Office uygulamalarını kullanarak kimlik avı ve kötü amaçlı yazılım yüklerinden yararlanabileceği birçok yolu kilitledi. Ancak Haziran 2022’de SketchUp Software’in tescilli SKP dosyalarına yönelik desteğin eklenmesi, bazı güvenlik açıklarının 3D modeller aracılığıyla istismar edilmesine olanak tanıdı.