Salı günü Microsoft, Windows NT LAN Manager’ı (NTLM) ve Görev Zamanlayıcı’yı etkileyen iki güvenlik açığının aktif olarak istismar edildiğini açıkladı.
Güvenlik açıkları arasında 90 güvenlik hatası teknoloji devi, Kasım 2024’teki Salı Yaması güncellemesinin bir parçası olarak ele aldı. 90 kusurdan dördü Kritik, 85’i Önemli ve biri Orta önemde olarak derecelendirildi. Yamalı güvenlik açıklarının 52’si uzaktan kod yürütme kusurlarıdır.
Düzeltmeler ek olarak 31 güvenlik açığı Microsoft, Ekim 2024 Salı Yaması güncellemesinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında bu sorunu çözdü. Aktif olarak yararlanıldığı belirtilen iki güvenlik açığı aşağıdadır:
- CVE-2024-43451 (CVSS puanı: 6,5) – Windows NTLM Hash Açıklama Sahtekarlığı Güvenlik Açığı
- CVE-2024-49039 (CVSS puanı: 8,8) – Windows Görev Zamanlayıcı’da Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2024-43451 için bir danışma belgesinde Microsoft, “Bu güvenlik açığı, kullanıcının NTLMv2 karma değerini, kullanıcı olarak kimlik doğrulaması yapmak için bunu kullanabilecek saldırgana ifşa ediyor” dedi ve ClearSky araştırmacısı Israel Yeshurun’un kusuru keşfedip bildirdiğine itibar etti.
CVE-2024-43451’in, CVE-2024-21410 (Şubat’ta yamalandı) ve CVE-2024-38021’den (Temmuz’da yamalandı) sonra, bir kullanıcının NTLMv2 karmasını ortaya çıkarmak için kullanılabilecek üçüncü kusur olduğunu belirtmekte fayda var. bu yıl vahşi doğada yalnız.
Kıdemli personel araştırma mühendisi Satnam Narang, “Saldırganlar, sistemlerde kimlik doğrulaması yapmak ve potansiyel olarak bir ağ içinde diğer sistemlere erişmek için yanal olarak hareket etmek için kullanılabildiğinden, NTLMv2 karmalarını açığa çıkarabilecek sıfır gün güvenlik açıklarını keşfetme ve bunlardan yararlanma konusunda kararlı olmaya devam ediyor.” Tenable, yaptığı açıklamada şunları söyledi.
Öte yandan CVE-2024-49039, bir saldırganın ayrıcalıklı hesaplarla sınırlı olan RPC işlevlerini yürütmesine olanak tanıyabilir. Ancak Microsoft, başarılı bir şekilde yararlanmanın, kimliği doğrulanmış bir saldırganın hedef sistemde ayrıcalıklarını Orta Bütünlük Düzeyine yükseltmek için özel hazırlanmış bir uygulamayı çalıştırmasını gerektirdiğini belirtiyor.
Google’ın Tehdit Analizi Grubu’ndan (TAG) Vlad Stolyarov ve Bahare Sabouri ile anonim bir araştırmacının güvenlik açığını bildirdikleri kabul edildi. Bu durum, kusurun sıfır gün istismarının ulus-devlet bağlantılı bir grupla veya gelişmiş kalıcı tehdit (APT) aktörüyle ilişkili olma olasılığını artırıyor.
Şu anda bu eksikliklerden nasıl yararlanıldığına veya bu saldırıların ne kadar yaygın olduğuna dair bir bilgi yok, ancak bu gelişme ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) harekete geçirdi. eklemek Onları Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) katalog.
Kamuya açıklanan ancak henüz yararlanılmayan sıfır gün kusurlarından biri CVE-2024-49019 (CVSS puanı: 7,8), Active Directory Sertifika Hizmetlerinde, etki alanı yöneticisi ayrıcalıkları elde etmek için kullanılabilecek bir ayrıcalık yükseltme güvenlik açığı. EKUwu olarak adlandırılan güvenlik açığının ayrıntıları açıklandı. belgelenmiş TrustedSec tarafından geçen ay.
Dikkat edilmesi gereken bir diğer güvenlik açığı ise CVE-2024-43498 (CVSS puanı: 9,8), kimliği doğrulanmamış uzak bir saldırganın, güvenlik açığı bulunan bir .NET web uygulamasına özel hazırlanmış istekler göndererek veya güvenlik açığı bulunan bir masaüstü uygulamasına özel hazırlanmış bir dosya yükleyerek .NET ve Visual Studio’da kritik bir uzaktan kod yürütme hatası .
Güncelleme ayrıca Windows Kerberos’u etkileyen kritik bir şifreleme protokolü hatasını da giderir (CVE-2024-43639CVSS puanı: 9,8) kimliği doğrulanmamış bir saldırgan tarafından uzaktan kod yürütme gerçekleştirmek için kötüye kullanılabilir.
Bu ayki sürümdeki en yüksek puan alan güvenlik açığı, Azure CycleCloud’daki uzaktan kod yürütme kusurudur (CVE-2024-43602CVSS puanı: 9,9), temel kullanıcı izinlerine sahip bir saldırganın kök düzeyinde ayrıcalıklar kazanmasına olanak tanır.
Narang, “Kullanım kolaylığı, savunmasız bir AzureCloud CycleCloud kümesine yapılandırmasını değiştirecek bir istek göndermek kadar basitti” dedi. “Kurumlar bulut kaynaklarını kullanmaya başladıkça saldırı yüzeyi de genişliyor.”
Son olarak, Redmond tarafından adreslenen, Microsoft tarafından verilmeyen bir CVE, OpenSSL’deki bir uzaktan kod yürütme hatasıdır (CVE-2024-5535CVSS puanı: 9.1). Oldu orijinal olarak yamalı OpenSSL bakımcıları tarafından Haziran 2024’te.
Microsoft, “Bu güvenlik açığından yararlanılması, bir saldırganın kurbana e-posta yoluyla kötü amaçlı bir bağlantı göndermesini veya genellikle bir e-posta veya Instant Messenger mesajı yoluyla kullanıcıyı bağlantıya tıklamaya ikna etmesini gerektirir” dedi.
“En kötü e-posta saldırısı senaryosunda, bir saldırgan, kurbanın bağlantıyı açmasına, okumasına veya tıklamasına gerek kalmadan kullanıcıya özel hazırlanmış bir e-posta gönderebilir. Bu, saldırganın kurbanın makinesinde uzaktan kod çalıştırmasına neden olabilir. “
Kasım ayı güvenlik güncelleştirmesiyle aynı zamana denk gelen Microsoft, yanıt ve iyileştirme çabalarını hızlandırmak amacıyla tüm CVE’ler için güvenlik açıklarını makine tarafından okunabilir biçimde açıklamaya yönelik bir OASIS standardı olan Ortak Güvenlik Danışma Çerçevesi’ni (CSAF) benimsediğini de duyurdu.
Şirket, “CSAF dosyalarının insanlardan çok bilgisayarlar tarafından tüketilmesi amaçlanıyor, bu nedenle CSAF dosyalarını mevcut CVE veri kanallarımızın yerine geçmek yerine ek olarak ekliyoruz.” dedi. söz konusu. “Bu, tedarik zincirimiz etrafında şeffaflığı artırmaya devam etmek için bir yolculuğun başlangıcıdır ve ürünlerimizde yerleşik Açık Kaynak Yazılım da dahil olmak üzere tüm tedarik zincirimizde ele aldığımız ve çözdüğümüz güvenlik açıkları.”
Diğer Satıcıların Yazılım Yamaları
Microsoft dışında, son birkaç hafta içinde diğer satıcılar tarafından da aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını gidermek için güvenlik güncellemeleri yayımlandı: