Microsoft, yazılım ekosistemindeki birden fazla güvenlik açığını ele alan Ağustos 2024 Salı Yaması güncellemesini yayınladı. Bu ayki güncelleme, dokuzu sıfır günlük istismar olarak sınıflandırılan toplam 90 güvenlik açığı için düzeltmeler içeriyor. Özellikle, bu sıfır günlük güvenlik açıklarından altısı aktif olarak istismar edilirken, üçü kamuya açıklandı.
Önceki ayki sürümle karşılaştırıldığında, 142 güvenlik açığı ele alındığında, bu güncelleme belirgin şekilde daha küçüktür. Bu ay ele alınan güvenlik açıkları öncelikle şu şekilde kategorize edilmiştir: %41’i ayrıcalık yükseltme (EoP) sorunlarıyla ilgiliyken, %33’ü uzaktan kod yürütmeyi (RCE) içerir.
Microsoft Ağustos 2024 Salı Yaması Güncellemesinin Önemli Noktaları
Bu ay ele alınan dokuz sıfır günlük güvenlik açığından altısı etkin bir şekilde istismar ediliyor. Önemli güvenlik açıkları arasında Windows Update Stack’te bir ayrıcalık yükseltme (EoP) sorunu olan CVE-2024-38202; Windows Secure Kernel’i etkileyen bir EoP açığı olan CVE-2024-21302; Microsoft Office’te bir sahtecilik açığı olan CVE-2024-38200; Azure Health Bot’ta bir EoP açığı olan CVE-2024-38109; ve Microsoft Copilot Studio’da bir bilgi ifşa açığı olan CVE-2024-38206 yer alıyor.
Tenable’da Araştırma Mühendisi olan Scott Caveza, bu güvenlik açıklarının ele alınmasının aciliyetini vurguluyor. Birlikte istismar edilirlerse CVE-2024-38202 ve CVE-2024-21302’nin saldırganların yazılım güncellemelerini geri almalarına ve önceki düzeltmeleri geri almalarına izin verebileceğini ve böylece saldırı yüzeyini genişletebileceğini belirtiyor. Ek olarak, CVE-2024-38200, NTLM karmalarını uzaktaki saldırganlara ifşa edebilir ve bu da daha önce APT28 gibi tehdit aktörleri tarafından kullanılan NTLM rölesi veya karma geçişi gibi daha fazla saldırıyı kolaylaştırabilir.
Caveza, saldırganların genellikle bir ağ içindeki ayrıcalıkları artırmak için kullandığı EoP güvenlik açıklarını ele almanın önemini vurguluyor. “Bu Salı Yaması sürümünde çok sayıda sıfır gün olması nedeniyle, bu güvenlik açıklarının giderilmesine öncelik vermek hayati önem taşıyor” diye ekliyor.
Caveza ayrıca Tenable Research tarafından ortaya çıkarılan iki kritik güvenlik açığını da vurguluyor. Tenable araştırmacısı Evan Grant tarafından keşfedilen CVE-2024-38206, Microsoft Copilot Studio’yu etkiliyor ve kimliği doğrulanmış saldırganların sunucu tarafı istek sahteciliği (SSRF) korumalarını atlatmasına ve hassas bilgileri sızdırmasına olanak tanıyor; Microsoft bu sorunu düzeltti.
Ek olarak, CVE-2024-38109, CVSSv3 puanı 9,1 olan Azure Health Bot’ta kritik bir ayrıcalık yükseltme (EoP) güvenlik açığıdır. Bu kusur, ayrıcalıkları yükseltmek için kullanılabilir, ancak Azure Health Bot kullanıcılarının sorun güncellemede çözüldüğü için başka bir işlem yapmasına gerek yoktur.
Ağustos 2024 Yama Salı’sındaki Güvenlik Açıklarının Dağılımı
Ağustos 2024 Salı Yaması güncellemesi, aşağıdaki gibi kategorize edilen bir dizi güvenlik açığını ele alıyor: 36’sı ayrıcalıkların yükseltilmesiyle ilgili, 28’i uzaktan kod yürütmeyle ilgili, 8’i bilgi ifşasıyla ilgili, 7’si sahtecilikle ilgili, 6’sı hizmet reddiyle ilgili, 4’ü güvenlik özelliği atlamalarıyla ilgili ve 1’i bir kurcalama sorunudur. Bu güncelleme, çeşitli Windows hizmetlerini ve Microsoft uygulamalarını etkileyen birkaç kritik güvenlik açığını içerir.
Bunlar arasında, geçerli kimlik doğrulaması olan saldırganların Azure Health Bot’ta ayrıcalıkları yükseltmesine izin veren CVE-2024-38109; kimliği doğrulanmış saldırganların Microsoft Copilot Studio’da SSRF korumalarını aşmasını sağlayan CVE-2024-38206; Microsoft Dynamics’te siteler arası betik çalıştırma güvenlik açığı olan CVE-2024-38166; kimliği doğrulanmamış saldırganların Güvenilir Çok Noktaya Yayın Aktarım Sürücüsü’nde (RMCAST) özel olarak hazırlanmış paketler aracılığıyla uzaktan kod yürütmesine izin veren CVE-2024-38140; Windows Ağ Sanallaştırma’da uzaktan kod yürütme yoluyla kritik konuk-ana bilgisayara kaçışlara yol açabilen CVE-2024-38159 ve CVE-2024-38160; Linux Shim önyükleyicisindeki güvenlik açıkları nedeniyle güvenli önyükleme özelliklerini etkileyen CVE-2022-3775 ve CVE-2023-40547 yer almaktadır. ve Windows TCP/IP’de özel olarak hazırlanmış IPv6 paketleri aracılığıyla uzaktan kod yürütülmesine izin veren CVE-2024-38063.
Ayrıca, bu ayki Patch Tuesday güncellemesinde, saldırganların Windows dosyalarını güncel olmayan sürümlerle değiştirmesine olanak tanıyan bir ayrıcalık yükseltme (EoP) açığı olan CVE-2024-21302 dahil olmak üzere çeşitli güvenlik açıkları kamuoyuna açıklandı. Bir diğer kritik sorun ise kullanımdan kaldırılan Windows Line Printer Daemon (LPD) hizmetini etkileyen CVE-2024-38199’dur; LPD’nin eskimiş olması nedeniyle istismarının olası olmadığı düşünülse de, dikkate değer olmaya devam etmektedir. Ek olarak, CVE-2024-38200, NTLM kimlik doğrulamasını etkileyen Microsoft Office’te orta şiddette bir sahtecilik güvenlik açığıdır.