Microsoft, bir rekoru düzeltmek için Nisan 2024 ayına ait güvenlik güncellemelerini yayımladı 149 kusurBunlardan ikisi vahşi doğada aktif olarak sömürülüyor.
149 kusurdan üçü Kritik, 142’si Önemli, üçü Orta ve biri de Düşük önem derecesine sahip. Güncelleme bir yana 21 güvenlik açığı Mart 2024 Salı Yaması düzeltmelerinin yayınlanmasının ardından şirketin Chromium tabanlı Edge tarayıcısında ele aldığı sorun.
Aktif olarak sömürülen iki eksiklik aşağıdadır –
- CVE-2024-26234 (CVSS puanı: 6,7) – Proxy Sürücüsü Sahteciliği Güvenlik Açığı
- CVE-2024-29988 (CVSS puanı: 8,8) – SmartScreen İstemi Güvenlik Özelliği Güvenlik Açığı Atlama
Microsoft’un kendi tavsiye belgesinde CVE-2024-26234 hakkında hiçbir bilgi bulunmamasına rağmen siber güvenlik firması Sophos, Aralık 2023’te geçerli bir Microsoft Windows Donanım Uyumluluk Yayımcısı tarafından imzalanmış kötü amaçlı bir yürütülebilir dosya (“Catalog.exe” veya “Katalog Kimlik Doğrulama İstemci Hizmeti”) keşfettiğini söyledi (WHCP) sertifikası.
İkili dosyanın orijinal kod analizi, orijinal istekte bulunan yayıncının, aynı zamanda LaiXi Android Ekran Aynalama adlı başka bir aracın da yayıncısı olan Hainan YouHu Technology Co. Ltd’ye ait olduğunu ortaya çıkardı.
İkincisi “bir pazarlama yazılımı … [that] yüzlerce cep telefonunu bağlayıp toplu olarak kontrol edebiliyor, toplu takip, beğenme, yorum yapma gibi görevleri otomatikleştirebiliyor.”
İddia edilen kimlik doğrulama hizmetinin içinde mevcut olan bir bileşen vardır: 3 vekil Etkin bir şekilde arka kapı görevi görerek, virüs bulaşmış bir sistemdeki ağ trafiğini izlemek ve engellemek için tasarlanmıştır.
Sophos araştırmacısı Andreas Klopsch, “LaiXi geliştiricilerinin kötü amaçlı dosyayı kasıtlı olarak ürünlerine yerleştirdiğine veya bir tehdit aktörünün dosyayı LaiXi uygulamasının derleme/oluşturma sürecine eklemek için bir tedarik zinciri saldırısı düzenlediğine dair hiçbir kanıtımız yok.” söz konusu.
Siber güvenlik şirketi ayrıca, arka kapının 5 Ocak 2023’e kadar uzanan çok sayıda başka varyantını da keşfettiğini ve bunun da kampanyanın en azından o zamandan beri devam ettiğini gösterdiğini söyledi. Microsoft daha sonra ilgili dosyaları iptal listesine ekledi.
Aktif saldırıya uğradığı bildirilen ikinci güvenlik kusuru, CVE-2024-29988’dir; bu kusur, CVE-2024-21412 ve CVE-2023-36025 gibi, saldırganların özel hazırlanmış bir dosyayı açarken Microsoft Defender Smartscreen korumalarından kaçmasına olanak tanır.
Microsoft, “Bu güvenlik özelliğinden yararlanarak güvenlik açığını aşmak için, bir saldırganın kullanıcıyı hiçbir kullanıcı arayüzünün gösterilmemesini talep eden bir başlatıcı uygulaması kullanarak kötü amaçlı dosyalar başlatmaya ikna etmesi gerekir” dedi.
“Bir e-posta veya anlık mesaj saldırısı senaryosunda, saldırgan hedeflenen kullanıcıya uzaktan kod yürütme güvenlik açığından yararlanmak üzere tasarlanmış özel hazırlanmış bir dosya gönderebilir.”
Sıfır Gün Girişimi açıklığa kavuşmuş Microsoft bunu “Kullanım Olasılığı Daha Yüksek” değerlendirmesiyle etiketlemesine rağmen, kusurun vahşi ortamda istismar edildiğine dair kanıtlar bulunduğunu belirtti.
Bir diğer önemli güvenlik açığı ise CVE-2024-29990 (CVSS puanı: 9,0), Microsoft Azure Kubernetes Hizmeti Gizli Kapsayıcısını etkileyen ve kimliği doğrulanmamış saldırganlar tarafından kimlik bilgilerini çalmak için kullanılabilecek bir ayrıcalık yükselmesi kusuru.
Redmond, “Bir saldırgan, güvenilmeyen AKS Kubernetes düğümüne ve AKS Gizli Konteynerine erişerek bağlı olabileceği ağ yığınının ötesindeki gizli konukları ve konteynerleri ele geçirebilir” dedi.
Toplamda sürüm, 68’e kadar uzaktan kod yürütme, 31 ayrıcalık yükseltme, 26 güvenlik özelliği atlama ve altı hizmet reddi (DoS) hatasını gidermesiyle dikkat çekiyor. İlginç bir şekilde, 26 güvenlik atlama hatasından 24’ü Güvenli Önyükleme ile ilgilidir.
Kıdemli personel Satnam Narang, “Bu ay ele alınan Güvenli Önyükleme güvenlik açıklarının hiçbiri yaygın olarak kullanılmamış olsa da, Güvenli Önyükleme’deki kusurların devam ettiğini ve gelecekte Güvenli Önyükleme ile ilgili daha fazla kötü amaçlı etkinlik görebileceğimizi hatırlatıyor.” Tenable’daki araştırma mühendisi, bir açıklamada şunları söyledi.
Açıklama, Microsoft’un güvenlik uygulamaları nedeniyle eleştirilere maruz kaldığı ve ABD Siber Güvenlik İnceleme Kurulu’nun (CSRB) yakın zamanda yayınladığı bir raporda, şirketin Storm olarak takip edilen Çinli bir tehdit aktörü tarafından düzenlenen bir siber casusluk kampanyasını önlemek için yeterince çaba göstermediği yönünde çağrıda bulunduğu bir dönemde geldi. -0558 geçen yıl.
Bu aynı zamanda şirketin aldığı kararı da takip ediyor. temel neden verilerini yayınla Ortak Zayıflık Sayımı (CWE) endüstri standardını kullanarak güvenlik kusurlarını tespit edin. Ancak değişikliklerin yalnızca Mart 2024’ten bu yana yayınlanan tavsiyelerden itibaren geçerli olduğunu belirtmekte fayda var.
Rapid7’nin baş yazılım mühendisi Adam Barnett, The Hacker News ile paylaşılan bir açıklamada, “Microsoft güvenlik önerilerine CWE değerlendirmelerinin eklenmesi, bir güvenlik açığının genel temel nedeninin belirlenmesine yardımcı oluyor” dedi.
“CWE programı yakın zamanda kılavuzunu güncelledi CVE’leri bir CWE Kök Nedeniyle eşleme. CWE eğilimlerinin analizi, geliştiricilerin, iyileştirilmiş Yazılım Geliştirme Yaşam Döngüsü (SDLC) iş akışları ve testleri aracılığıyla gelecekte meydana gelebilecek olayları azaltmalarına yardımcı olmanın yanı sıra, savunmacıların, yatırımdan en iyi getiriyi elde etmek için derinlemesine savunma ve konuşlandırmayı güçlendirme çabalarını nereye yönlendireceklerini anlamalarına yardımcı olabilir.”
İlgili bir gelişmede siber güvenlik firması Varonis, saldırganların denetim günlüklerini atlatmak ve SharePoint’ten dosya sızdırırken indirme olaylarını tetiklemekten kaçınmak için benimseyebilecekleri iki yöntemi ayrıntılı olarak açıkladı.
İlk yaklaşım, dosyalara erişmek ve indirmek için SharePoint’in “Uygulamada Aç” özelliğinden yararlanırken, ikincisi, dosyaları ve hatta tüm siteleri indirmek için Microsoft SkyDriveSync Kullanıcı Aracısını kullanırken bu tür olayları, indirmeler yerine dosya senkronizasyonları olarak yanlış kategorilere ayırır.
Kasım 2023’te sorunlardan haberdar olan Microsoft, yama biriktirme programına eklenmesine rağmen henüz bir düzeltme yayınlamadı. Bu arada kuruluşların, özellikle kısa bir süre içinde büyük miktarda dosya indirmeyi içeren şüpheli erişim olaylarına karşı denetim günlüklerini yakından izlemeleri önerilir.
Eric Saraga, “Bu teknikler, indirmeleri daha az şüpheli erişim ve senkronizasyon olayları olarak gizleyerek, bulut erişim güvenliği aracıları, veri kaybı önleme ve SIEM’ler gibi geleneksel araçların tespit ve uygulama politikalarını atlayabilir.” söz konusu.
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: