Windows çekirdeğindeki kritik bir sıfır günlük ayrıcalık yükseltme güvenlik açığı için bir kavram kanıtı (PoC) açığı kamuoyuna açıklandı. CVE-2024-38106 olarak izlenen bu açık, Microsoft’un Ağustos 2024 Salı Yaması güncellemesinde düzeltilen birkaç sıfır günlük açığından biriydi.
CVE-2024-38106, yerel bir saldırganın SYSTEM ayrıcalıkları elde etmesine izin verebilecek Windows çekirdeğindeki bir yarış durumu güvenlik açığıdır. Sorunun CVSS puanı 7.0’dır ve Microsoft’un istismar edilebilirlik değerlendirmesi bunu “istismar olasılığı daha yüksek” olarak etiketler.
Söz konusu güvenlik açığı, anonim bir araştırmacı tarafından Microsoft’a bildirildi ve hafta sonu GitHub’da PoC açığı kamuoyuna açıklanana kadar detaylar gizli tutuldu.
PoC, yarış koşulunun çekirdek belleğini bozmak ve yükseltilmiş ayrıcalıklarla keyfi kod yürütmeyi başarmak için nasıl tetiklenebileceğini göstermektedir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Yama Analizi
PixiePoint Güvenlik araştırmacılarının Microsoft’un CVE-2024-38106 yaması üzerinde yaptığı analiz, sorunun kökenine ışık tutuyor.
Bu güvenlik açığı, çağrıların etrafındaki uygunsuz kilitleme nedeniyle ortaya çıktı VslpEnterIumSecureMode()
içinde VslGetSetSecureContext()
işlevi. Bu, bir saldırganın hala kullanımda olan işçi fabrika nesnesini ve ilişkili zamanlayıcıyı serbest bırakmasına izin verebilir ve bu da serbest bırakıldıktan sonra kullanım koşuluna yol açabilir.
Microsoft’un düzeltmesi, uygun kilitlemeyi kullanarak uygular VslpLockPagesForTransfer()
Ve VslpUnlockPagesForTransfer()
yarış durumunu önlemek için.
Ancak, çalışan bir PoC açığının kamuya açık olması, kuruluşların güvenlik güncellemelerini mümkün olan en kısa sürede uygulamasını kritik hale getiriyor.
Azaltma
Tek tam çözüm, CVE-2024-38106 düzeltmesini içeren güvenlik güncellemelerini yüklemektir. Microsoft, Ağustos 2024 Salı Yaması güncellemesinde bu güvenlik açığını giderdi ve tüm müşterileri yamaları derhal uygulamaya çağırıyor.
Windows 11 ve Windows Server 2022’nin yanı sıra hala desteklenen bazı eski Windows sürümleri de etkileniyor. Henüz vahşi doğada etkin bir istismar raporu yok, ancak genel PoC bunun değişme olasılığını önemli ölçüde artırıyor.
Kuruluşlar, bu ay düzeltilen diğer kritik ve aktif olarak istismar edilen güvenlik açıklarıyla birlikte CVE-2024-38106’yı da yamalamaya öncelik vermelidir. Bunlar arasında Windows TCP/IP yığınında sıfır tıklamalı RCE (CVE-2024-38063) ve diğer çeşitli ayrıcalık yükseltme ve uzaktan kod yürütme kusurları yer almaktadır.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!