Microsoft, bu ayki Salı Yaması güncellemesinde düzelttiği bir hatayı, “Void Banshee” adlı gelişmiş kalıcı tehdit grubunun Temmuz ayından beri istismar ettiği sıfır günlük bir güvenlik açığı olarak yeniden sınıflandırdı.
Hata, şu şekilde tanımlandı: CVE-2024-43461Microsoft’un geriye dönük uyumluluk amaçları için Windows’a eklemeye devam ettiği eski MSHTML (Trident) tarayıcı motorundaki uzaktan istismar edilebilir bir platform sahteciliği güvenlik açığıdır ve Void Banshee’nin kullandığı iki çok benzer sorundan biri saldırılarında.
Desteklenen Tüm Windows Sürümlerini Etkiler
Güvenlik açığı, desteklenen tüm Windows sürümlerini etkiler ve uzak saldırganlara etkilenen sistemlerde keyfi kod yürütme yolu sağlar. Ancak bir saldırganın, herhangi bir istismarın işe yaraması için potansiyel bir kurbanı kötü amaçlı bir Web sayfasını ziyaret etmeye veya güvenli olmayan bir bağlantıya tıklamaya ikna etmesi gerekir.
Microsoft, açığı 10 puanlık CVSS ölçeğinde 8,8’lik bir önem derecesiyle derecelendirdi. başlangıçta hatayı ifşa etti 10 Eylül’de. O zaman, şirketin tavsiyesinde güvenlik açığının sıfır günlük bir hata olduğundan bahsedilmiyordu. Microsoft, 13 Eylül’de bu değerlendirmeyi, saldırganların aslında “bir saldırı zincirinin parçası olarak” açığı aktif olarak istismar ettiğini belirtmek için revize etti. [related] Şirketin Temmuz 2024’te düzelttiği bir MSHTML platformu sahteciliği güvenlik açığı olan “CVE-2024-38112”.
“Bir düzeltme yayınladık CVE-2024-38112 Microsoft, güncellenen duyurusunda “Bu saldırı zincirini kıran Temmuz 2024 güvenlik güncellemelerimizde” ifadesini kullandı.
Şirket, müşterilerinin CVE-2024-43461’i hedef alan istismarlara karşı kendilerini tam olarak korumak için hem Temmuz 2024 güncellemesindeki hem de Eylül 2024 güncellemesindeki yamalarını uygulamalarını istiyor. Microsoft’un 13 Eylül güncellemesinin ardından, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) 16 Eylül’de kusur eklendi Federal kurumların satıcının önlemlerini uygulaması için 7 Ekim tarihine kadar bilinen istismar edilen güvenlik açıkları veritabanına bir son tarih verildi.
CVE-2024-43461, CVE-2024-38112’ye benzerdir. bir saldırgana izin verir kullanıcı arayüzünün (bu durumda tarayıcının) hatalı veri görüntülemesine neden olmak. Kontrol Noktası AraştırmasıMicrosoft’un CVE-2024-38112’yi keşfetmekle itibar kazandığı , bu kusuru bir saldırganın tıklandığında Internet Explorer’ı tetikleyecek (devre dışı bırakılmış olsa bile) kötü amaçlı bir URL’yi açmasını sağlayacak hazırlanmış bir URL veya İnternet kısayolu dosyası göndermesine izin vermek olarak tanımladı. Check Point, tehdit aktörlerinin kusuru istismar ederken kötü amaçlı HTML uygulama (HTA) dosyalarını zararsız görünümlü PDF belgeleri gibi göstermek için ayrı bir yeni numara kullandığını da gözlemlediğini söyledi.
CVE-2024-38112’yi keşfettiği iddia edilen Trend Micro’nun Zero Day Initiative (ZDI) adlı kuruluşu da Microsoft ile bir sorunu var onları kabul etmemek için — daha sonra Void Banshee olarak bildirildi Windows sistemlerine Atlantida kötü amaçlı yazılımını bırakmak için bu güvenlik açığından faydalanmak gibi. Trend Micro’nun gözlemlediği saldırılarda, tehdit aktörü kurbanları Discord sunucuları, dosya paylaşım siteleri ve diğer vektörler aracılığıyla dağıttıkları kitap PDF’leri olarak taklit edilen kötü amaçlı dosyalar kullanarak kandırdı. Void Banshee, araştırmacıların Kuzey Amerika, Güneydoğu Asya ve Avrupa’daki kuruluşları hedef aldığını gözlemlediği finansal olarak motive olmuş bir tehdit aktörü.
İki Hatalı Microsoft Saldırı Zinciri
Microsoft’un güncellenen duyurusuna göre, saldırganların CVE-2024-38112’yi de içeren bir saldırı zincirinin parçası olarak CVE-2024-43461’i kullandıkları ortaya çıktı. Qualys’teki araştırmacılar daha önce CVE-2024-38112’ye karşı yapılan istismarların CVE-2024-43416 için de aynı şekilde işe yarayacağını belirtmişti çünkü ikisi de neredeyse aynı kusurlardı.
Microsoft’un CVE-2024-43461 için kredi verdiği ZDI’daki kıdemli tehdit araştırmacısı Peter Girnus, saldırganların .URL dosyası içindeki MHTML protokol işleyicisini kullanarak Internet Explorer üzerinden bir HTML açılış sayfasına gitmek için CVE-2024-38112’yi kullandığını söylüyor. “Bu açılış sayfası bir
Girnus, ZDI’nin saldırganların CVE-2024-43461’i istismar ettiğinin farkında olduğunu ancak CVE-2024-38112 için yamanın sorunu çözdüğünü varsaydığını söylüyor. “Ancak, sahtecilik açığının çözülmediğini fark etmek için bu yamayı geri aldık. Microsoft’u derhal uyardık,” diyor.
Trend Micro, Temmuz ayında Void Banshee’nin CVE-2024-38112’yi istismar etmesiyle ilgili raporunda, bu açığın kuruluşların MSHTML gibi “desteklenmeyen Windows kalıntıları” tarafından nasıl tökezleyebileceğinin ve saldırganların sistemlerine fidye yazılımları, arka kapılar ve diğer kötü amaçlı yazılımlar bırakmasıyla sonuçlanabileceğinin başlıca örneği olduğunu söyledi. Saldırı yüzeyi de önemlidir: Sevco’nun Microsoft’un CVE-2024-38112’yi ifşa etmesinden hemen sonra 500.000 Windows 10 ve Windows 11 sistemi üzerinde gerçekleştirdiği bir çalışma, %10’dan fazlasında herhangi bir uç nokta koruma denetiminin ve yaklaşık %9’unda yama yönetimi denetimlerinin eksik olduğunu ve bu da onları tehditlere karşı tamamen kör bıraktığını gösterdi.
“Cihazlarda uç nokta güvenliği veya yama yönetimi kontrollerinin eksikliği gibi çevresel güvenlik açıkları, CVE güvenlik açıklarıyla bir araya geldiğinde şirketlerin verilere giden yolları açıkta bırakması ve kötü niyetli kişilerin güvenlik açıklarından faydalanmasına olanak tanıması riskini artırıyor. [CVE-2024-43461]Sevco’nun kurucu ortağı Greg Fitzgerald, “İşletmelerin bu güvenlik açığını yamalama ilk adımını atması kritik önem taşıyor, ancak bununla sınırlı kalamaz.” diyor.