Saldırganlar, Microsoft’un bu hafta aylık güvenlik güncellemesinin bir parçası olarak yayınladığı 79 güvenlik açığından dördünü halihazırda aktif olarak kullanıyor.
Sıfırıncı gün hatalarından ikisi, saldırganlara Windows’daki kritik güvenlik korumalarını aşma yolu sağlıyor ve bu nedenle her kuruluşun öncelikli çözüm listesinde yer almalı.
Geriye kalan sıfır-günlerden biri, sistem düzeyindeki ayrıcalıklara erişim sağlayan bir ayrıcalık yükseltme hatası; diğeri ise Microsoft’un daha önce yamalar yayınladığı Windows 10’un belirli sürümlerindeki güvenlik açıklarını geri alan veya yeniden ortaya çıkaran bir hata.
Toplamda, Microsoft’un Eylül güncellemesi yedi kritik uzaktan kod yürütme (RCE) ve ayrıcalık yükseltme güvenlik açığı içeriyordu. Şirket, son güncellemelerinde CVE’lerin 19’unu saldırganların uzaktan kod yürütmeyi mümkün kılmaları, karmaşıklığı düşük saldırıları içermeleri, kullanıcı etkileşimi gerektirmemeleri ve yaygın olarak dağıtılan ürünlerde bulunmaları ve diğer faktörler nedeniyle istismar etme olasılıklarının daha yüksek olduğu güvenlik açıkları olarak değerlendirdi.
Güvenlik Sıfır Günlerini Atlatma
Güvenlik açığını atlatmak için izlenen güvenlik açıklarından biri CVE-2024-38226Microsoft Publisher’ı etkiler. Bir sisteme kimliği doğrulanmış erişimi olan bir saldırganın, güvenilmeyen ve kötü amaçlı dosyaları engellemek için Microsoft Office makrolarını atlatmasına olanak tanır. Microsoft, “Kimliği doğrulanmış bir saldırgan, sosyal mühendislik yoluyla bir kurbanı, kurbanın bilgisayarına yerel bir saldırıya yol açabilecek bir web sitesinden özel olarak hazırlanmış bir dosyayı indirmeye ve açmaya ikna ederek bu güvenlik açığından yararlanabilir” dedi. Şirket, güvenlik açığına 10 üzerinden 6,8’lik orta düzey bir CVSS önem puanı verdi; muhtemelen bir saldırganın herhangi bir istismarın işe yaraması için bir kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna etmesi gerekeceğinden.
Microsoft’un Eylül güncellemesindeki diğer güvenlik açığı sıfır gün hatasıdır CVE-2024-38217kullanıcıları Web’den indirilen potansiyel olarak zararlı dosyalara ve içeriklere karşı korumak için tasarlanmış Windows Mark of the Web (MoTW) özelliğinde. Bu güvenlik açığı, bir saldırganın kötü amaçlı dosyaları MoTW savunmalarından gizlice geçirmesine ve Microsoft’un “sınırlı kayıp” olarak tanımladığı uygulama itibarı kontrollerinin ve diğer güvenlik özelliklerinin bütünlüğüne ve kullanılabilirliğine neden olmasına olanak tanır. Microsoft, CVE-2024-38217’ye 5 önem derecesi atadı çünkü bunu istismar etmek için bir saldırganın potansiyel kurbanları saldırgan tarafından kontrol edilen bir siteyi ziyaret etmeye ve ardından oradan kötü amaçlı bir dosya indirmeye ikna etmesi gerekir.
Tenable’da kıdemli araştırma mühendisi olan Satnam Narang, bir bildiride “Hem CVE-2024-38226 hem de CVE-2024-38217’nin istismarı, Microsoft Office makrolarının çalışmasını engelleyen önemli güvenlik özelliklerinin atlatılmasına yol açabilir” dedi. “Her iki durumda da, hedefin saldırgan tarafından kontrol edilen bir sunucudan özel olarak hazırlanmış bir dosyayı açmaya ikna edilmesi gerekir. Farklı oldukları nokta, bir saldırganın CVE-2024-38226’yı istismar etmek için sisteme kimlik doğrulaması yapması ve yerel erişime sahip olması gerektiğidir” dedi.
RCE ve Ayrıcalık Yükseltme Sıfır Günleri
Microsoft’un son güncellemesindeki saldırganların aktif olarak istismar etmeye başladığı diğer iki hata ise CVE-2024-38014 ve CVE-2024-43491’dir. CVE-2024-38014 saldırganların sistem düzeyinde ayrıcalıklar elde etmek için kullanabilecekleri Windows Installer’daki bir ayrıcalık yükseltme güvenlik açığıdır. Diğer sıfır günlerinde olduğu gibi, Microsoft’un tavsiyesi hatayı hedef alan istismar etkinliği veya ne zaman başlamış olabileceği hakkında hiçbir ayrıntı sunmadı. CVE-2024-38014’ü hedef alan devam eden saldırılara rağmen, Microsoft hatayı yalnızca orta düzeyde ciddi olarak değerlendirdi (CVSS ölçeğinde 10 üzerinden 7,8) çünkü bir saldırganın güvenlik açığını istismar etmek için etkilenen bir sistemi zaten tehlikeye atmış olması gerekir.
CVE-2024-43491, bu arada, Microsoft Windows Update’te yüksek öneme sahip (CVSS puanı 8.5) bir RCE’dir. Güvenlik açığı, Microsoft’un Mart ayında Windows 10’un belirli sürümleri için yayınladığı düzeltmeleri geri alır. Microsoft’a göre, güvenlik açığı saldırganlara Microsoft’un daha önce Mart ve Ağustos ayları arasında Windows 10, sürüm 1507’de azalttığı güvenlik açıklarından yararlanma yolu sağlar. Microsoft, “Müşterilerin, bu CVE’nin geri aldığı güvenlik açıklarından tam olarak korunmak için hem hizmet yığını güncelleştirmesini (KB5043936) hem de 10 Eylül 2024’te yayınlanan güvenlik güncelleştirmesini (KB5043083) yüklemeleri gerekiyor” dedi.
Immersive Lab’da tehdit araştırmaları kıdemli direktörü olan Kev Breen, yöneticilerin şu konulara dikkat etmesi gerektiğini savundu: Microsoft’un Resmi Notları CVE-2024-43491 için. Breen e-postayla gönderilen yorumlarda “Bununla ilgili çok sayıda uyarı var,” dedi. “Kısa versiyonu, isteğe bağlı bileşenlerin etkinleştirildiği bazı Windows 10 sürümlerinin Mart ayından bu yana savunmasız bir durumda bırakılmış olmasıdır.”
Bu, Microsoft’un yöneticilere başa çıkmaları için birden fazla sıfır gün verdiği üst üste ikinci ay. Şirket, Ağustos ayında bunlardan altısını açıkladı; bu, o noktaya kadarki tüm yılın toplamına eşit.
Diğer Yüksek Öncelikli Hatalar
Güvenlik araştırmacılarına göre son güncellemedeki diğer dikkat çekici hatalar şunlardır: CVE-2024-43461, Windows’da sahtecilik açığı; CVE-2024-38018, bir Microsoft SharePoint Server RCE; ve CVE-2024-38241 Ve CVE-2024-38242Kernel Streaming Service Sürücüsünde iki ayrıcalık yükseltme güvenlik açığı.
CVE-2024-43461, Microsoft Windows’un desteklenen tüm sürümlerini etkiler. Şuna benzer: CVE-2024-38112Microsoft’un en az iki tehdit grubunun 18 aydır istismar etmesinin ardından Temmuz ayında yamaladığı sıfır günlük bir hata. Qualys’te güvenlik açığı araştırmaları yöneticisi Saeed Abbasi’ye göre saldırganlar, yeni CVE-2024-43416’ya karşı saldırılarda CVE-2024-38112’nin istismarlarından yararlanabilir. Abbasi, e-postayla gönderilen yorumlarda “Bu güvenlik açığı saldırganların meşru web içeriğini taklit etmesine ve kimlik avı ve veri hırsızlığı gibi yetkisiz eylemlere yol açmasına olanak tanıdığından istismar olasılığı yüksektir” dedi.
Automox BT güvenliği direktörü Tom Bowyer, e-postayla gönderilen yorumlarda, kuruluşların Microsoft SharePoint Server RCE güvenlik açığını (CVE-2024-38018) düzeltmeye öncelik vermesi gerektiğini, çünkü bunun için hiçbir hafifletici önlem veya geçici çözüm bulunmadığını söyledi. “Bu CVE’nin potansiyel etkisi önemlidir, özellikle SharePoint sunucularının bunları kullanan kuruluşlarda oynadığı iş açısından kritik doğa” ve istismarın kolaylığı göz önüne alındığında.
Immersive Labs’ın baş siber güvenlik mühendisi Ben McCarthy, Çekirdek Akış Hizmeti Sürücüsü açıklarının (CVE-2024-38241 ve CE-2024-38242) ele alınmasının önemli olduğunu belirtti çünkü bunlar çekirdek düzeyinde mevcut ve saldırganlara güvenlik kontrollerini aşma, ayrıcalıkları yükseltme, keyfi kod yürütme ve tüm sistemi ele geçirme yolu sağlıyor.
Microsoft, bu yıl şu ana kadar ürünlerinde toplam 745 güvenlik açığını açıkladı. Automox tarafından tutulan sayılarMicrosoft bunlardan yalnızca 33’ünü kritik olarak tanımladı.