Yedi farklı Windows ayrıcalık yükseltme güvenlik açığı, ortaya çıktıktan iki ay sonra Microsoft tarafından henüz giderilmedi. Pwn2Own 2024 Vancouver’da.
Bu haftanın Salı Yaması beraberinde getirdi beş düzine güvenlik düzeltmesiAktif olarak yararlanılan CVE-2024-30051 ve CVE-2024-30040 hatalarına yönelik düzeltmeler de dahil. Ancak Apple’ın aksine, Googleve diğerleri, Microsoft’un henüz bir dizi hatayı düzeltmedi Mart ayında beyaz şapkalar tarafından ortaya çıkarıldı.
Şu ana kadar şirket yalnızca bir tanesini düzeltti. Aynı sorun Google Chrome’u da etkiledi, dolayısıyla Google bir düzeltme yazdığında Microsoft bunu Edge tarayıcısına taşıdı.
Şu anda Windows’un olağanüstü güvenlik açıklarından herhangi birinin kötü niyetli bilgisayar korsanları tarafından kullanıldığına dair bir gösterge yok. Ancak her biri araştırmacılar tarafından tamamen istismar edildiğinden, Pwn2Own’u çalıştıran Trend Micro’nun Zero Day Initiative (ZDI) bunları “vahşi” olarak değerlendiriyor.
ZDI tehdit farkındalığı başkanı Dustin Childs, “Bu tür hatalar tehdit aktörleri tarafından çok yaygın olarak kullanılıyor” diyor. “Genellikle bir sistemi ele geçirmek için uzaktan kod yürütme hatasıyla birleştirilirler ve her yerdeki kullanıcılar için gerçek bir tehdit oluştururlar.”
Windows Pwn2Kendi Hataları
Söz konusu yedi ayrıcalık yükseltme hatası çeşitli Windows bileşenlerini etkiliyor. Bunlar arasında iki serbest kullanımdan sonra kullanım hatası, bir kullanım süresi kontrol zamanı (TOCTOU) hatası, yığın tabanlı bir arabellek taşması, bir ayrıcalık bağlamı değiştirme hatası, girişte belirtilen miktarın uygunsuz bir şekilde doğrulanması ve bir yarış durumu.
Bunlardan bazıları işletim sistemindeki basit yükseltme sorunlarıdır. Diğerleri, konuktan ana bilgisayara kaçışlarda sanallaştırma hatalarıyla birlikte çalışır.
Bunun ötesinde ayrıntılar hâlâ gizli tutuluyor. Kural olarak Pwn2Own, satıcıların yarışmadan 90 gün sonra yamalar üzerinde çalışmasına izin verir. Bu yılki etkinlik 20-22 Mart tarihlerinde gerçekleşti; bu da Microsoft’un işini toparlaması için hâlâ bir aydan biraz fazla zamanının olduğu anlamına geliyor.
Microsoft, Dark Reading’e Pwn2Own 2024’te ortaya çıkan güvenlik açıklarını 90 günlük açıklama zaman çizelgesi içinde gidermeye çalıştığını bildirdi.
Childs, “Şahsen ben endişelenmeye başlıyorum çünkü Microsoft şu anda tek başına duruyor” diyor. “VMware yama yaptı. Oracle yama yaptı. Mozilla birkaç gün içinde yama yaptı. Ama belli ki, bir tarayıcıdan farklı bir şeye bakıyorlar; bir milyar insan tarafından kullanılan bir işletim sistemine yama uyguluyorlar.
“Dolayısıyla panik düğmesine basmıyorum çünkü bir işletim sistemine yama yapmak için ne gerektiğini biliyorum. Ama şu anda öyle bir noktaya geldim ki, özellikle de Microsoft çok gürültü yaptı güvenliğin ön planda olduğu konusunda [for it]ve bunu geçen ay görmek Microsoft yamaları için şimdiye kadarki en büyük ayBaşka pek çok şeyin olup bitmesinden ve bunların bir kenara bırakılabileceğinden endişeleniyorum.”