Microsoft, 2024 için Salı Yaması güncellemelerini aşağıdaki düzeltmelerle kapattı: toplam 72 güvenlik açığı Vahşi doğada istismar edildiğini söylediği bir yazılım da dahil olmak üzere yazılım portföyünü kapsıyor.
72 kusurdan 17’si Kritik, 54’ü Önemli ve biri Orta önemde olarak derecelendirildi. Güvenlik açıklarından 31’i uzaktan kod yürütme kusurlarından oluşuyor ve 27’si ayrıcalıkların yükseltilmesine izin veriyor.
Bu, ek olarak 13 güvenlik açığı şirket, geçen ayki güvenlik güncellemesinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında bu sorunu ele aldı. Fortra’ya göre Microsoft, yalnızca 2024 yılında toplamda 1088 kadar güvenlik açığını çözdü.
Microsoft’un aktif olarak istismar edildiğini kabul ettiği güvenlik açığı: CVE-2024-49138 (CVSS puanı: 7,8), Windows Ortak Günlük Dosya Sistemi (CLFS) Sürücüsünde bir ayrıcalık yükseltme kusuru.
Şirket, bir danışma belgesinde “Bu güvenlik açığından başarıyla yararlanan bir saldırgan SİSTEM ayrıcalıkları kazanabilir” dedi ve kusuru keşfedip bildirdiği için siber güvenlik şirketi CrowdStrike’a teşekkür etti.
CVE-2024-49138’in, CVE-2022-24521, CVE-2022-37969, CVE-2023-23376 ve CVE-2023-28252’den (CVSS puanları: 7,8) sonra 2022’den bu yana aktif olarak yararlanılan beşinci CLFS ayrıcalık yükseltme hatası olduğunu belirtmekte fayda var. ). Bu aynı zamanda aynı bileşende bu yıl yamalanacak dokuzuncu güvenlik açığıdır.
“Her ne kadar yaygın kullanım ayrıntıları henüz bilinmese de, CLFS sürücüsündeki güvenlik açıklarının geçmişine bakıldığında, fidye yazılımı operatörlerinin son birkaç yılda CLFS ayrıcalık yükseltme kusurlarından yararlanmaya yönelik bir eğilim geliştirdiklerini görmek ilginçtir. ” Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, The Hacker News’e söyledi.
“Genellikle hassasiyet ve sabıra odaklanan gelişmiş kalıcı tehdit gruplarının aksine, fidye yazılımı operatörleri ve bağlı kuruluşları, her ne şekilde olursa olsun parçala ve ele geçir taktiklerine odaklanıyor. Fidye yazılımı bağlı kuruluşları, CLFS’de buna benzer ayrıcalık yükseltme kusurlarını kullanarak, belirli bir süreçten geçebilir. Verileri çalmak ve şifrelemek ve kurbanlarından şantaj yapmaya başlamak için ağ.”
CLFS’nin kötü niyetli aktörler için cazip bir saldırı yolu haline geldiği gerçeği, Microsoft’un da gözünden kaçmadı ve bu tür günlük dosyalarını ayrıştırırken yeni bir doğrulama adımı eklemek için çalıştığını söyledi.
Microsoft, “Günlük dosyası veri yapılarındaki bireysel değerleri doğrulamaya çalışmak yerine, bu güvenlik azaltımı CLFS’ye, günlük dosyalarının CLFS sürücüsünün kendisi dışındaki herhangi bir şey tarafından değiştirildiğini algılama yeteneği sağlıyor.” not edildi Ağustos 2024’ün sonlarında. “Bu, günlük dosyasının sonuna Karma Tabanlı Mesaj Kimlik Doğrulama Kodlarının (HMAC) eklenmesiyle gerçekleştirildi.”
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), o tarihten bu yana eklendi Bilinen İstismar Edilen Güvenlik Açıklarındaki kusur (KEV) Federal Sivil Yürütme Organı (FCEB) kurumlarının 31 Aralık 2024’e kadar gerekli iyileştirmeleri uygulamasını gerektiren katalog.
Bu ayki sürümdeki en yüksek önem derecesine sahip hata, Windows Basit Dizin Erişim Protokolünü (LDAP) etkileyen bir uzaktan kod yürütme kusurudur. Olarak takip ediliyor CVE-2024-49112 (CVSS puanı: 9,8).
Microsoft, “Bu güvenlik açığından başarıyla yararlanan, kimliği doğrulanmamış bir saldırgan, LDAP hizmeti bağlamında isteğe bağlı kod yürütmek üzere özel hazırlanmış bir LDAP çağrıları kümesi aracılığıyla kod yürütme elde edebilir” dedi.
Ayrıca Windows Hyper-V’yi etkileyen diğer iki uzaktan kod yürütme hatası da dikkate değerdir (CVE-2024-49117CVSS puanı: 8,8), Uzak Masaüstü İstemcisi (CVE-2024-49105CVSS puanı: 8,4) ve Microsoft Müzik (CVE-2024-49063CVSS puanı: 8.4).
Bu gelişme, 0patch’in, saldırganların NT LAN Manager (NTLM) kimlik bilgilerini ele geçirmesine olanak tanıyan Windows sıfır gün güvenlik açığına yönelik resmi olmayan düzeltmeler yayınlamasıyla birlikte geliyor. Kusurla ilgili ek ayrıntılar, resmi bir yama çıkana kadar saklandı.
“Güvenlik açığı, bir saldırganın, kullanıcının kötü amaçlı bir dosyayı Windows Gezgini’nde görüntülemesini sağlayarak (örneğin, bu tür bir dosyayla paylaşılan bir klasörü veya USB diski açarak veya bu tür bir dosyanın daha önce otomatik olarak indirildiği İndirilenler klasörünü görüntüleyerek) kullanıcının NTLM kimlik bilgilerini elde etmesine olanak tanır. Saldırganın web sayfasından,” Mitja Kolsek söz konusu.
Ekim ayı sonlarında ücretsiz resmi olmayan yamalar da sunuldu. kullanıma sunuldu Saldırganların bir hedefin NTLM kimlik bilgilerini uzaktan çalmasına olanak tanıyan Windows Temalarındaki sıfır gün güvenlik açığını gidermek için.
0patch’te ayrıca yayınlanan mikro yamalar Windows Server 2012 ve Server 2012 R2’de, bir saldırganın belirli dosya türlerindeki Web İşareti (MotW) korumalarını atlamasına olanak tanıyan, önceden bilinmeyen başka bir güvenlik açığı için. Sorunun iki yıldan fazla bir süre önce ortaya çıktığına inanılıyor.
NTLM’nin aktarma yoluyla yoğun bir şekilde sömürülmesi ve karma geçiş saldırılarıMicrosoft, eski kimlik doğrulama protokolünü Kerberos lehine kullanımdan kaldırma planlarını duyurdu. Ayrıca, Exchange 2019’un yeni ve mevcut kurulumları için Kimlik Doğrulaması için Genişletilmiş Koruma’yı (EPA) varsayılan olarak etkinleştirme adımını attı.
Microsoft, Windows Server 2025’in piyasaya sürülmesiyle birlikte EPA’yı varsayılan olarak etkinleştirerek Azure Dizin Sertifika Hizmetleri’nde (AD CS) benzer bir güvenlik iyileştirmesi gerçekleştirdiğini, bunun da NTLM v1 desteğini kaldırdığını ve NTLM v2’yi kullanımdan kaldırdığını söyledi. Bu değişiklikler Windows 11 24H2 için de geçerlidir.
Redmond’un güvenlik ekibi “Ayrıca, aynı Windows Server 2025 sürümünün bir parçası olarak, LDAP’de artık varsayılan olarak kanal bağlama etkindir.” söz konusu bu hafta başında. “Bu güvenlik geliştirmeleri, varsayılan olarak üç şirket içi hizmette NTLM aktarma saldırıları riskini azaltır: Exchange Server, Active Directory Sertifika Hizmetleri (AD CS) ve LDAP.”
“NTLM’yi varsayılan olarak devre dışı bırakma yolunda ilerledikçe, Exchange Server, AD CS ve LDAP’de EPA’nın etkinleştirilmesi gibi anlık, kısa vadeli değişiklikler, ‘varsayılan olarak güvenli’ duruşunu güçlendiriyor ve kullanıcıları gerçek dünyadaki saldırılara karşı koruyor.”
Diğer Satıcıların Yazılım Yamaları
Microsoft dışında, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: