Microsoft, MSHTML ve PrintNightmare Zafiyetleri İçin Güncelleme Yayınladı

MSHTML zero-day

Microsoft, MSHTML zero-day olarak bilienen ve windows 10 bilgisayarlarda Microsoft Office ve Office 365’e yönelik saldırılarda aktif olarak kullanılan zero-day zafiyetini kapattı. CVE-2021-40444 olarak izlenen zafiyet uzaktan kod yürütme (RCE) güvenlik açığı Microsoft Office belgeleri tarafından kullanılan MSHTML Internet Explorer tarayıcı rendering engine’de bulunuyor ve windows Server 2008’den 2019’a kadar ve windows 8.1 veya sonraki sürümleri etkiliyor. Zafiyetin kapatılması için bu ay yayınlanan toplu güncellemelerin yüklenmesi gerekiyor.

PrintNightmare

Microsoft, kalan son PrintNightmare sıfır gün güvenlik açıklarını gidermek için bu ay toplu güncellemeler ile zafiyeti kapattığını açıkladı. (CVE-2021-34527) kodu ile takip edilen sıfırıncı gün windows yazdırma biriktiricisinde bulunuyor ve uzaktan kod yürütme, yerel sistem ayrıcalıkları kazanmak için windows  işaretle ve yazdır özelliğinden yararlanıyor.Zafiyetin ortaya çıkmasından sonra Microsoft mitigate ve güncellemeler yayınlamış ancak güvenlik araştırmacıları bu alınan önlemleri atlatmayı başarmışlardı. Özellikle mimikatz’ın programcısı Benjamin Delpy bu atlatma yöntemlerini canlı örnekler ile göstermişti.Daha da kötüsü, Vice Society , Magniber ve Conti gibi fidye yazılımı çeteleri hatayı kullanmaya başlamıştı.

Delpy yaptığı açıklamada bu ay yayınlanan güncellemeler ile zafiyetin kapatıldığını doğruladı.

#printnightmare patch tuesday looks like promising pic.twitter.com/OjwCL79Io9

— 🥝🏳️‍🌈 Benjamin Delpy (@gentilkiwi) September 14, 2021

Delpy, güvenlik açığını düzeltmenin yanı sıra Microsoft’un CopyFiles özelliğini varsayılan olarak devre dışı bıraktığını ve yöneticilerin yeniden etkinleştirmesine izin veren bir grup ilkesi olmadığını söyledi. Bu ilke, windows kayıt defteri’nde HKLM\Software\Policies\Microsoft\Windows NT\Printers anahtarı altında ve CopyFilesPolicy adlı bir değer eklenerek  yapılandırılabilir . ‘1’ olarak ayarlandığında CopyFiles yeniden etkinleştirilecektir. Ancak, etkinleştirildiğinde yalnızca Microsoft’un C:\Windows\System32\mscms.dll  dosyasının bu özellikle kullanılmasına izin vereceğini söyledi. Bu değişiklik windows’un varsayılan davranışını etkileyeceğinden, windows’ta yazdırırken hangi sorunlara neden olacağı şu an için belirsiz. Microsoft, şu anda bu yeni grup ilkesi hakkında herhangi bir bilgi yayınlamamış durumda ve group policy editor’de mevcut değil. İlerleyen zamanlar yeni bir yazdırma problemi ortaya çıkaracak mı hep birlikte göreceğiz.