Microsoft bu soruna çözüm bulmak için yamalar yayınladı 73 güvenlik açığı Aktif olarak istismar edilen iki sıfır gün de dahil olmak üzere, Şubat 2024’teki Salı Yaması güncellemelerinin bir parçası olarak yazılım serisini kapsıyor.
73 güvenlik açığından 5’i Kritik, 65’i Önemli ve üçü Orta şiddette olarak derecelendirildi. Bu, ek olarak 24 kusur 24 Ocak Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında düzeltilen sorunlar.
Yayınlandığı sırada aktif saldırı altında olarak listelenen iki kusur aşağıdadır:
- CVE-2024-21351 (CVSS puanı: 7,6) – Windows SmartScreen Güvenlik Özelliği Güvenlik Açıklarını Atlıyor
- CVE-2024-21412 (CVSS puanı: 8.1) – İnternet Kısayol Dosyaları Güvenlik Özelliği Güvenlik Açığı Atlama
“Güvenlik açığı, kötü niyetli bir aktörün sisteme kod enjekte etmesine olanak tanıyor Akıllı ekran Microsoft, CVE-2024-21351 hakkında şunları söyledi: “Bu durum potansiyel olarak bazı verilerin açığa çıkmasına, sistem kullanılabilirliğinin olmamasına veya her ikisine yol açabilecek şekilde kod yürütülmesine neden olabilir.”
Kusurun başarılı bir şekilde kullanılması, bir saldırganın SmartScreen korumalarını atlatmasına ve rastgele kod çalıştırmasına olanak tanıyabilir. Ancak saldırının işe yaraması için tehdit aktörünün kullanıcıya kötü amaçlı bir dosya göndermesi ve kullanıcıyı bu dosyayı açmaya ikna etmesi gerekiyor.
CVE-2024-21412, benzer şekilde, kimliği doğrulanmamış bir saldırganın, hedeflenen kullanıcıya özel hazırlanmış bir dosya göndererek görüntülenen güvenlik kontrollerini atlamasına izin verir.
“Ancak saldırganın, kullanıcıyı saldırgan tarafından kontrol edilen içeriği görüntülemeye zorlama yolu yoktur.” Redmond dikkat çekti. “Bunun yerine saldırganın, dosya bağlantısına tıklayarak onları harekete geçmeye ikna etmesi gerekir.”
CVE-2024-21351, Kasım 2023’te teknoloji devi tarafından kapatılan CVE-2023-36025’ten (CVSS puanı: 8,8) sonra SmartScreen’de keşfedilen ikinci bypass hatasıdır. Bu kusur, o zamandan bu yana birden fazla bilgisayar korsanlığı grubu tarafından istismar edilmeye başlandı. DarkGate, Phemedrone Stealer ve Mispadu’yu çoğaltın.
Water Hydra (namı diğer DarkCasino) tarafından CVE-2024-21412’den yararlanan gelişmiş bir sıfır gün saldırı zinciri aracılığıyla finansal piyasa yatırımcılarını hedef alan bir saldırı kampanyasını ayrıntılarıyla anlatan Trend Micro, CVE-2024-21412’yi CVE-2023 için bir bypass olarak tanımladı -36025, böylece tehdit aktörlerinin SmartScreen kontrollerinden kaçmasına olanak tanır.
İlk olarak 2021’de tespit edilen Water Hydra’nın, 2021’de gün yüzüne çıkan WinRAR kusuru da dahil olmak üzere sıfır gün açıklarını kullanarak DarkMe adlı bir truva atı yaymak için bankalara, kripto para platformlarına, ticaret hizmetlerine, kumar sitelerine ve kumarhanelere karşı saldırılar başlatma konusunda bir geçmişi var. Ağustos 2023 (CVE-2023-38831, CVSS puanı: 7,8).
Geçen yılın sonlarında, Çinli siber güvenlik şirketi NSFOCUS, “ekonomik amaçlı” bilgisayar korsanlığı grubunu tamamen yeni bir gelişmiş kalıcı tehdide (APT) dönüştürdü.
Trend Micro, “Ocak 2024’te Water Hydra, CVE-2024-21412’yi kullanarak kötü amaçlı bir Microsoft Yükleyici Dosyası (.MSI) çalıştırarak enfeksiyon zincirini güncelledi ve DarkMe enfeksiyon sürecini kolaylaştırdı.” söz konusu.
Her iki güvenlik açığı da o zamandan beri katma Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) kataloğu, federal kurumları 5 Mart 2024’e kadar en son güncellemeleri uygulamaya çağırıyor.
Ayrıca Microsoft tarafından yamalanan beş kritik kusur da var:
- CVE-2024-20684 (CVSS puanı: 6,5) – Windows Hyper-V Hizmet Reddi Güvenlik Açığı
- CVE-2024-21357 (CVSS puanı: 7,5) – Windows Pragmatik Genel Çok Noktaya Yayın (PGM) Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2024-21380 (CVSS puanı: 8,0) – Microsoft Dynamics Business Central/NAV Bilginin İfşa Edilmesi Güvenlik Açığı
- CVE-2024-21410 (CVSS puanı: 9,8) – Microsoft Exchange Server’da Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2024-21413 (CVSS puanı: 9,8) – Microsoft Outlook’ta Uzaktan Kod Yürütme Güvenlik Açığı
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang yaptığı açıklamada, “CVE-2024-21410, Microsoft Exchange Server’da bir ayrıcalık yükselmesi güvenlik açığıdır” dedi. “Microsoft’a göre bu kusurun saldırganlar tarafından istismar edilme olasılığı daha yüksek.”
“Bu güvenlik açığından yararlanılması, hedeflenen kullanıcının Net-Yeni Teknoloji LAN Yöneticisi (NTLM) sürüm 2 karma değerinin açığa çıkmasına neden olabilir; bu, bir NTLM geçişinde veya karma geçiş saldırısında güvenlik açığı bulunan bir Exchange Sunucusuna geri aktarılabilir. saldırganın hedeflenen kullanıcı olarak kimlik doğrulaması yapmasına izin verin.”
Güvenlik güncelleştirmesi ayrıca, SQL Server için Microsoft WDAC OLE DB sağlayıcısında, bir saldırganın kimliği doğrulanmış bir kullanıcıyı OLEDB aracılığıyla kötü amaçlı bir SQL sunucusuna bağlanma girişiminde bulunmak üzere kandırarak yararlanabileceği 15 uzaktan kod yürütme kusurunu da giderir.
Yamayı yuvarlamak bir düzeltmedir CVE-2023-50387 (CVSS puanı: 7,5), DNSSEC spesifikasyonunda, CPU kaynaklarını tüketmek ve DNS çözümleyicilerini durdurmak için kötüye kullanılabilen ve hizmet reddine (DoS) yol açabilen 24 yıllık bir tasarım hatası.
Güvenlik açığı, Darmstadt’taki Ulusal Uygulamalı Siber Güvenlik Araştırma Merkezi (ATHENE) tarafından KeyTrap olarak kodlandı.
Araştırmacılar, “Sadece tek bir DNS paketiyle saldırının CPU’yu tüketebileceğini ve yaygın olarak kullanılan tüm DNS uygulamalarını ve Google Public DNS ve Cloudflare gibi genel DNS sağlayıcılarını durdurabileceğini gösterdiler.” söz konusu. “Aslında popüler BIND 9 DNS uygulaması 16 saate kadar durdurulabilir.”
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, ay başından bu yana diğer satıcılar tarafından da çeşitli güvenlik açıklarını gidermek için güvenlik güncellemeleri yayımlandı: