Microsoft, 48 benzersiz CVE’ye yönelik yamalardan oluşan nispeten hafif bir Ocak ayı güvenlik güncellemesiyle kurumsal güvenlik ekiplerini 2024’e taşıdı; şirket bunlardan yalnızca ikisinin kritik öneme sahip olduğunu belirledi.
Üst üste ikinci ay boyunca, Microsoft’un Salı Yaması herhangi bir sıfır gün hatası içermiyordu; bu da yöneticilerin, saldırganların şu anda aktif olarak yararlandığı yeni güvenlik açıklarıyla uğraşmak zorunda kalmayacağı anlamına geliyor; bu, 2023’te sıklıkla gerçekleşen bir şey.
Sadece İki Kritik Önem Hatası
Genellikle olduğu gibi, CVE’ler Microsoft 9 Ocak’ta açıkladı geniş bir ürün yelpazesini etkiledi ve ayrıcalık yükseltme güvenlik açıklarını, uzaktan kod yürütme kusurlarını, güvenlik atlama hatalarını ve diğer güvenlik açıklarını içeriyordu. Şirket, saldırganların istismar etme olasılıklarının daha yüksek olduğu birkaç kusur da dahil olmak üzere 46 kusuru Önemli önemde olarak sınıflandırdı.
Microsoft’un en son güncellemesindeki iki kritik önemdeki hatadan biri CVE-2024-20674Saldırganların kimlik doğrulama mekanizmalarını atlamasına ve kimliğe bürünme saldırıları başlatmasına olanak tanıyan bir Windows Kerberos güvenlik özelliği atlama güvenlik açığıdır. Qualys güvenlik açığı araştırması yöneticisi Saeed Abbasi, Dark Reading’e yaptığı açıklamada, “Saldırganlar bu kusurdan ortadaki makine (MitM) saldırısı yoluyla yararlanabilir” diyor. “Bunu, bir yerel ağ sahtekarlığı senaryosu oluşturarak ve ardından bir istemci makinesini meşru bir Kerberos kimlik doğrulama sunucusuyla iletişim kurduğuna inandırmak için kötü amaçlı Kerberos mesajları göndererek başarıyorlar.”
Güvenlik açığı, saldırganın hedefle aynı yerel ağa erişmesini gerektiriyor. İnternet üzerinden uzaktan yararlanılamaz ve dahili ağa yakınlık gerektirir. Abbasi, yine de yakın gelecekte aktif sömürü girişimlerinin yaşanma ihtimalinin yüksek olduğunu söylüyor.
Immersive Labs tehdit araştırması kıdemli direktörü Ken Breen şunları tespit etti: CVE-2024-20674 kuruluşların hızla yama yapması gereken bir hata olarak. Breen’den yapılan açıklamaya göre “Bu tür saldırı vektörleri, fidye yazılımı operatörleri ve erişim aracıları gibi tehdit aktörleri için her zaman değerlidir” çünkü kurumsal ağlara önemli erişim sağlıyorlar.
Microsoft’un en son güvenlik güncelleştirmeleri grubundaki diğer kritik güvenlik açığı, Windows Hiper Sanallaştırma teknolojisindeki bir uzaktan kod yürütme güvenlik açığı olan CVE-2024-20700’dür. Immersive Labs’ın siber güvenlik mühendisi Ben McCarthy’nin açıklamasına göre, bu güvenlik açığından yararlanmak pek de kolay değil çünkü bunu yapmak için bir saldırganın öncelikle ağın içinde ve savunmasız bir bilgisayarın yanında olması gerekiyor.
Güvenlik açığı aynı zamanda bir yarış durumunu da içerir; bu, bir saldırganın yararlanması diğer birçok güvenlik açığı türünden daha zor olan bir sorun türüdür. McCarthy, “Bu güvenlik açığı, istismar olasılığının daha düşük olması nedeniyle yayınlandı, ancak Hyper-V bir bilgisayardaki en yüksek ayrıcalıklara sahip olduğundan yama uygulamayı düşünmeye değer” dedi.
Yüksek Öncelikli Uzaktan Kod Yürütme Hataları
Güvenlik araştırmacıları Ocak güncellemesinde öncelikli dikkat gerektiren diğer iki RCE hatasına dikkat çekti: CVE-2024-21307 Windows Uzak Masaüstü İstemcisinde ve CVE-2024-21318 SharePoint Sunucusunda.
Breen’e göre Microsoft, CVE-2024-21307’yi saldırganların yararlanma olasılığının daha yüksek olduğu bir güvenlik açığı olarak tanımladı ancak bunun nedeni hakkında çok az bilgi verdi. Şirket, yetkisiz saldırganların bu güvenlik açığından yararlanabilmek için kullanıcının bağlantı başlatmasını beklemesi gerektiğini belirtti.
Breen, “Bu, saldırganların kötü niyetli bir RDP sunucusu oluşturması ve kullanıcıyı kandırmak için sosyal mühendislik tekniklerini kullanması gerektiği anlamına geliyor” dedi. “Bu, göründüğü kadar zor değil, çünkü kötü amaçlı RDP sunucularının saldırganlar tarafından kurulması nispeten kolaydır ve ardından e-postalarda .rdp eklerinin gönderilmesi, kullanıcının istismarı tetiklemek için yalnızca eki açması gerektiği anlamına gelir.”
Birkaç İstismar Edilebilir Ayrıcalık Yükseltme Hatası Daha
Microsoft’un Ocak güncellemesi, çeşitli ayrıcalık yükseltme güvenlik açıklarına yönelik yamalar içeriyordu. Bunların en ağırları arasında CVE-2023-21310, Windows Bulut Dosyaları Mini Filtre Sürücüsünde bir ayrıcalık yükseltme hatası. Kusur şuna çok benzer: CVE-2023-36036Microsoft’un açıkladığı aynı teknolojideki sıfır gün ayrıcalık yükseltme güvenlik açığı Kasım 2023 güvenlik güncellemesi.
Saldırganlar, yerel makinelerde sistem düzeyinde ayrıcalıklar elde etmeye çalışmak için bu kusurdan aktif olarak yararlandı; yeni açıklanan güvenlik açığıyla da bunu yapabilirler. Breen, “Bu tür ayrıcalık yükseltme adımı, ağ uzlaşmalarında tehdit aktörleri tarafından sıklıkla görülüyor” dedi. “Saldırganın güvenlik araçlarını devre dışı bırakmasına veya Mimikatz gibi kimlik bilgileri boşaltma araçlarını çalıştırmasına olanak tanıyarak yanal harekete veya etki alanı hesaplarının ele geçirilmesine olanak sağlayabilir.”
Diğer önemli ayrıcalık yükseltme hatalarından bazıları dahil CVE-2024-20653 Windows Ortak Günlük Dosya Sisteminde, CVE-2024-20698 Windows Çekirdeğinde, CVE-2024-20683 Win32k’de, ve CVE-2024-20686 Win32k’de. Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang’ın açıklamasına göre Microsoft, tüm bu kusurları saldırganların istismar etme olasılığının daha yüksek olduğu sorunlar olarak değerlendirdi. “Bu hatalar genellikle uzlaşma sonrası faaliyetlerin bir parçası olarak kullanılıyor” dedi. “Yani, saldırganlar sistemler üzerinde ilk tutunma noktasını elde ettikten sonra.”
Microsoft’un önemli olarak sıraladığı ancak hızla ilgilenilmesi gereken kusurlar arasında şunlar yer almaktadır: CVE-2024-0056, Abbasi, SQL’de bir güvenlik bypass özelliğinin bulunduğunu söylüyor. Kusurun, bir saldırganın ortadaki makine saldırısı gerçekleştirmesine, istemci ile sunucu arasındaki TLS trafiğini ele geçirmesine ve potansiyel olarak değiştirmesine olanak tanıdığını belirtiyor. “Bir saldırgan, kötüye kullanılması durumunda güvenli TLS trafiğinin şifresini çözebilir, okuyabilir veya değiştirebilir, böylece verilerin gizliliğini ve bütünlüğünü ihlal edebilir.” Abbasi, bir saldırganın bu kusurdan yararlanarak SQL Veri Sağlayıcı aracılığıyla SQL Server’dan yararlanabileceğini söylüyor.