Microsoft’un Ekim ayı güvenlik güncellemesi, aktif olarak yararlanılan iki kusur ve kamuya açıklanmış ancak henüz yararlanılmamış üç hata dahil olmak üzere 117 önemli güvenlik açığını giderdi.
Güncelleme, açıklanan CVE’ler açısından bu yıl şu ana kadarki en büyük üçüncü güncellemedir. Nisan ayının 147 CVE’si Ve Temmuz ayının 139 kusuru.
Çok sayıda hata (46) uzaktan kod yürütmeye (RCE) olanak tanıyor ve diğer 28 hata, tehdit aktörlerine ayrıcalıkları yükseltmenin bir yolunu sunuyor. Geriye kalan güvenlik açıkları arasında kimlik sahtekarlığına, hizmet reddine ve diğer kötü amaçlı sonuçlara olanak tanıyan güvenlik açıkları yer alıyor. Her zaman olduğu gibi CVE’ler, Windows işletim sistemi, Microsoft’un Hyper-V sanallaştırma teknolojisi, Windows Kerberos, Azure, Power BI ve .NET bileşenleri dahil olmak üzere çok çeşitli Microsoft teknolojilerini etkiledi.
Aktif Olarak İstismar Edilen Hatalar
Sistemdeki iki güvenlik açığı Ekim güncellemesi Saldırganların aktif olarak istismar ettiği şeyler aynı zamanda acil müdahaleyi hak eden unsurlardır.
Bunlardan biri CVE-2024-43573MSHTML’deki bir kimlik sahtekarlığı güvenlik açığı veya Microsoft’un geriye dönük uyumluluğu korumak için modern sürümlere dahil ettiği Internet Explorer için Trident eski tarama motoru. Hata şuna benzer: CVE-2024-38112 Ve CVE-2024-43461 Microsoft’un sırasıyla Temmuz ve Eylül aylarında MSHTML’de açıkladığı Banshee grubunu geçersiz kıl aktif olarak istismar ediliyor. Hatanın bir başka olağandışı yönü: Microsoft, bunu bildirdiği veya keşfettiği için kimseye itibar etmemiştir.
Trend Micro’nun Zero Day Initiative araştırmacıları, kuruluşların Microsoft’un CVE-2024-43573 için orta önem derecesine sahip değerlendirmesinin, hatanın hemen ilgilenilmeye değer olmadığını düşünmelerine izin vermemesi gerektiğini söylüyor bir blog yazısında yazdı. “Microsoft’tan bunun olup olmadığına dair bir açıklama yok. [Void Banshee]ancak burada herhangi bir onay olmadığı göz önüne alındığında, bu bana orijinal yamanın yetersiz olduğunu düşündürüyor” dedi ZDI paylaşımı. “Her iki durumda da, ciddiyet derecesine göre bunu göz ardı etmeyin. Bu güncelleştirmeyi hızlı bir şekilde test edin ve dağıtın.”
Saldırganların şu anda istismar ettiği diğer sıfır gün ise CVE-2024-43572Microsoft Yönetim Konsolu’ndaki (MMC) bir RCE kusuru. Microsoft, yamasının “müşterileri bu güvenlik açığıyla ilişkili risklere karşı korumak için güvenilmeyen Microsoft Kayıtlı Konsol (MSC) dosyalarının açılmasını” önlediğini söyledi.
Bu yılın başlarında, Elastic Security’deki araştırmacılar, tehdit aktörlerinin özel olarak hazırlanmış MMC dosyalarını kullandığını gözlemlediklerini bildirdi. GrimKaynak ilk erişim ve savunmadan kaçınma amacıyla. Ancak saldırganların bu kampanyada CVE-2024-43572’yi mi yoksa başka bir hatayı mı kullandığı henüz belli değil. Microsoft bu en son yama güncellemesinde bu konuya değinmedi.
Kamuoyunca Biliniyor ancak Kullanılmıyor — Şimdilik
Microsoft’un Ekim güvenlik güncelleştirmesinin bir parçası olarak açıkladığı ancak saldırganların henüz yararlanmadığı diğer üç sıfır gün hatası: CVE-2024-6197, açık kaynak cURLl komut satırı aracında uzaktan kod yürütme güvenlik açığı; CVE-2024-20659Windows Hyper-V’de orta şiddette bir güvenlik atlama güvenlik açığı; Ve CVE-2024-43583WinLogon’da bir ayrıcalık yükselmesi güvenlik açığı.
Action 1’in başkanı ve kurucu ortağı Mike Walters, kuruluşların CVE-2024-6197 yamasına öncelik vermesi gerektiğini söyledi. Microsoft, güvenlik açığını saldırganların istismar etme olasılığının daha düşük olduğu bir şey olarak değerlendirse de Walters, hataya ilişkin kavram kanıt kodunun yakında kullanıma sunulmasını bekliyor. Walters, “Bu güvenlik açığı özellikle endişe verici çünkü çeşitli ağ protokolleri üzerinden veri aktarımına entegre bir araç olan cURL’deki bellek yönetiminin temel mimarisini etkiliyor.” bir blog yazısında yazdı. “Etkilenen sistemler arasında, çeşitli platformlarda çok sayıda uygulamaya güç sağlayan temel kitaplık olan cURL veya libcurl kullananlar da var.”
Bu arada Walters, kullanıcıların farklı dillerde yazmasına olanak tanıyan üçüncü taraf giriş yöntemi düzenleyicileri (IME’ler) kullanan kuruluşların, WinLogon ayrıcalık yükseltme kusuru olan CVE-2024-43583 nedeniyle özellikle risk altında olduğunu ekledi. “Bu güvenlik açığı, küresel şirketler veya eğitim kurumları gibi çok dilli desteğin hayati önem taşıdığı çeşitli ortamlarda özellikle geçerlidir” dedi. Saldırganların, etkilenen ortamları tehlikeye atmak için daha geniş bir saldırı zincirinin parçası olarak bu güvenlik açığından yararlanabileceğini söyledi.
Şimdi Dikkat Edilmesi Gereken Diğer Kritik Hatalar
Microsoft, bu hafta açıkladığı 117 güvenlik açığından yalnızca üçünü kritik olarak değerlendirdi. Üçü de RCE’dir. Bunlar CVE-2024-43468 Microsoft Yapılandırma Yöneticisi’nde, CVE-2024-43582 Uzak Masaüstü Protokolü (RDP) sunucusunda ve CVE-2024-43488 Arduino Remote için Visual Studio Code uzantısında.
CVE-2024-43468, Automox’ta araştırmacı olan Microsoft Yapılandırma Yöneticisi Cody Dietz ile ilgili bazı bellek güvenliği endişelerini vurguluyor: bir blog yazısında yazdı. “Bu güvenlik açığının başarılı bir şekilde kullanılması, ağ boyunca yanal harekete izin verebilir ve kötü amaçlı yapılandırmaların diğer sistemlere dağıtılması potansiyeli sunabilir.” Dietz, kuruluşların güvenlik açığını derhal düzeltmenin yanı sıra riski azaltmak için alternatif bir hizmet hesabı kullanmayı da düşünmeleri gerektiğini söyledi.
Automox da vurgulandı CVE-2024-43533RDP’de yüksek önem derecesine sahip bir hata. Hata RDP istemcisinde mevcut ve saldırganların istemci makinede rastgele kod yürütmesine olanak tanıyor. Automox BT güvenliği direktörü Tom Bowyer, şirketin blog yazısında şöyle yazdı: “Sunucuları hedef alan tipik RDP güvenlik açıklarından farklı olarak, bu, istemcilere karşı benzersiz bir saldırı vektörü sunarak senaryoyu tersine çeviriyor.”.
Boyer, “Bu güvenlik açığı, saldırganların ulus devletler veya güvenlik şirketleri gibi kuruluşların tarama faaliyetlerinden yararlanmak için sahte RDP sunucuları kurduğu arka saldırılara kapıyı açıyor” diye ekledi.