Microsoft, toplamda şu sorunları gidermek için yamalar yayınladı: 143 güvenlik açığı aylık güvenlik güncellemelerinin bir parçası olarak, bunlardan ikisi vahşi doğada aktif olarak istismar edildi.
143 hatadan beşi Kritik, 136’sı Önemli ve dördü Orta şiddette olarak derecelendirilmiştir. Düzeltmeler ek olarak 33 güvenlik açığı Geçtiğimiz ay içerisinde Chromium tabanlı Edge tarayıcısında ele alınan sorunlar.
İstismar edilen iki güvenlik açığı aşağıdadır:
- CVE-2024-38080 (CVSS puanı: 7.8) – Windows Hyper-V Ayrıcalık Yükseltme Güvenlik Açığı
- CVE-2024-38112 (CVSS puanı: 7.5) – Windows MSHTML Platform Sahteciliği Güvenlik Açığı
Microsoft, CVE-2024-38112 için “Bu güvenlik açığının başarılı bir şekilde istismar edilmesi, saldırganın hedef ortamı hazırlamak için istismardan önce ek eylemler gerçekleştirmesini gerektirir” dedi. “Bir saldırganın kurbana, kurbanın yürütmesi gereken kötü amaçlı bir dosya göndermesi gerekir.”
Mayıs 2024’te açığı keşfedip bildiren Check Point güvenlik araştırmacısı Haifei Li, tehdit aktörlerinin, tıklandığında kurbanları emekliye ayrılmış Internet Explorer (IE) tarayıcısını çağırarak kötü amaçlı bir URL’ye yönlendiren özel olarak hazırlanmış Windows İnternet Kısayolu dosyalarından (.URL) yararlandığını söyledi.
“IE’de kötü amaçlı .HTA uzantı adını gizlemek için ek bir hile kullanılıyor,” Li açıklanmış“Windows’taki modern ve çok daha güvenli Chrome/Edge tarayıcısı yerine URL’yi IE ile açarak saldırgan, kurbanın bilgisayarını istismar etmede önemli avantajlar elde etti; oysa bilgisayar modern Windows 10/11 işletim sistemini çalıştırıyor.”
“CVE-2024-38080, Windows Hyper-V’de bir ayrıcalık yükseltme kusurudur,” diyor Tenable’da kıdemli personel araştırma mühendisi olan Satnam Narang. “Yerel, kimliği doğrulanmış bir saldırgan, hedeflenen bir sistemin ilk ele geçirilmesinin ardından ayrıcalıkları SİSTEM düzeyine yükseltmek için bu güvenlik açığından yararlanabilir.”
CVE-2024-38080’in kötüye kullanımıyla ilgili kesin ayrıntılar henüz bilinmemekle birlikte Narang, bunun 2022’den bu yana yaygın olarak istismar edilen 44 Hyper-V açığının ilki olduğunu belirtti.
Microsoft tarafından düzeltilen diğer iki güvenlik açığı, yayınlandığı sırada kamuoyuna açık olarak biliniyordu. Bunlara, yan kanal saldırısı da dahildir Getirme Tezgahı (CVE-2024-37985, CVSS puanı: 5,9) bir saldırganın Arm tabanlı sistemlerde çalışan ayrıcalıklı bir işlemden yığın belleğini görüntülemesine olanak tanıyabilir.
Söz konusu kamuya açıklanan ikinci güvenlik açığı ise; CVE-2024-35264 (CVSS puanı: 8.1), .NET ve Visual Studio’yu etkileyen uzaktan kod yürütme hatası.
Redmond bir danışma yazısında “Bir saldırgan, istek gövdesi işlenirken bir http/3 akışını kapatarak bunu istismar edebilir ve bu da bir yarış durumuna yol açabilir,” dedi. “Bu, uzaktan kod yürütülmesine yol açabilir.”
Ayrıca Salı Yaması güncellemelerinin bir parçası olarak SQL Server Yerel İstemci OLE DB Sağlayıcısını etkileyen 37 uzaktan kod yürütme hatası, 20 Güvenli Önyükleme güvenlik özelliği atlama açığı, üç PowerShell ayrıcalık yükseltme hatası ve RADIUS protokolünde bir kimlik sahtekarlığı açığı (CVE-2024-3596 veya diğer adıyla BlastRADIUS) çözüldü.
“[The SQL Server flaws] Rapid7’nin Ürün Yöneticisi Greg Wiseman, “Bu durum özellikle OLE DB Sağlayıcısını etkiliyor, bu yüzden sadece SQL Server örneklerinin güncellenmesi gerekmiyor, aynı zamanda bağlantı sürücüsünün güvenlik açığı olan sürümlerini çalıştıran istemci kodunun da ele alınması gerekiyor” dedi.
“Örneğin, bir saldırgan, kimliği doğrulanmış bir kullanıcıyı kötü amaçlı veriler döndürecek şekilde yapılandırılmış bir SQL Server veritabanına bağlanmaya zorlamak için sosyal mühendislik taktiklerini kullanabilir ve istemcide keyfi kod yürütülmesine izin verebilir.”
Uzun yama listesinin sonuncusu ise CVE-2024-38021 (CVSS puanı: 8.8), Microsoft Office’te bulunan ve başarılı bir şekilde istismar edilmesi durumunda saldırganın okuma, yazma ve silme işlevleri de dahil olmak üzere yüksek ayrıcalıklar elde etmesine olanak tanıyan bir uzaktan kod yürütme açığı.
Açığı 2024 yılının nisan ayı sonlarında Microsoft’a bildiren Morphisec, açığın herhangi bir kimlik doğrulaması gerektirmediğini ve sıfır tıklama özelliği nedeniyle ciddi bir risk oluşturduğunu söyledi.
“Saldırganlar bu güvenlik açığını kullanarak yetkisiz erişim elde edebilir, keyfi kod çalıştırabilir ve herhangi bir kullanıcı etkileşimi olmadan önemli hasara yol açabilirler” Michael Gorelik söz konusu“Kimlik doğrulama gereksinimlerinin olmaması, yaygın bir şekilde istismara kapı araladığı için bunu özellikle tehlikeli hale getiriyor.”
Düzeltmeler Microsoft’un duyuruldu Geçtiğimiz ayın sonlarında şeffaflığı artırmak amacıyla bulutla ilgili güvenlik açıkları için CVE tanımlayıcıları yayınlamaya başlayacağını duyurmuştu.
Diğer Satıcılardan Yazılım Yamaları
Microsoft’a ek olarak, son birkaç haftada diğer satıcılar tarafından da çeşitli güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri yayınlandı; bunlar arasında şunlar yer alıyor: