Sakin bir yaz geçirmeyi umut eden BT yöneticileri ve güvenlik ekipleri, Microsoft’un Salı Yaması güncellemesiyle aktif olarak istismar edilen altı sıfırıncı gün açığını ve kamuoyuna açıklanan dört ek sorunu düzeltmesinin ardından hayal kırıklığına uğradı.
Kötü niyetli kişilerin bu ay hedefinde dokuz tane hata daha var; bunlardan ikisi Red Hat’ten gelen ve kritik önem derecesine sahip üçüncü taraf hataları.
Bu kritik kusurların hiçbiri sıfır-gün listesine girmiyor, ancak bu yıl şimdiye kadarki en büyük Salı Yama güncellemelerinden birinin ortasında geliyor ve üçüncü taraf sorunları da hesaba katıldığında 100’den fazla düzeltme içeriyor, bu da önümüzdeki birkaç gün içinde şüphesiz çok fazla zamanınızı alacak.
Rapid7 baş yazılım mühendisi Adam Barnett, “Microsoft’un bugün yayınlanan 10 güvenlik açığının gerçek zamanlı olarak istismar edildiğine veya kamuoyuna açıklandığına dair kanıtları var ve bu normalden önemli ölçüde daha fazla,” dedi.
“Yazı yazıldığı sırada, bugün düzeltilen bilinen altı istismar edilen güvenlik açığının tamamı şu adreste listelenmiştir: [the] CISA KEVİN [database]Microsoft ayrıca bugün beş kritik uzaktan kod yürütme (RCE) güvenlik açığını da kapatıyor.
“Salı Yaması’nı izleyenler, bugün kamuoyuna açıklanan dört güvenlik açığı ve altı açıktan yararlanılarak keşfedilen açığın normalden çok daha büyük bir paket olduğunu bileceklerdir” dedi.
Barnett şunları ekledi: “Microsoft, yapılacaklar listesine endişeyle bakan savunmacılar için bir tür barış dalı niteliğinde, bu ay herhangi bir SharePoint veya Exchange güvenlik açığı yayınlamadı.”
Henüz kamuya açık bir sömürü kodu dolaşmayan altı sıfır günlük hata şu hataları içeriyor:
- Windows Çekirdeğinde ayrıcalık yükseltme (EoP) güvenlik açığı olan CVE-2024-38106;
- Windows Güç Bağımlılığı Koordinatörü’nde bir EoP güvenlik açığı olan CVE-2024-38107;
- CVE-2024-38178, Scripting Engine’deki uzaktan kod yürütme güvenlik açığı;
- Microsoft Project’te bir RCE güvenlik açığı olan CVE-2024-38189;
- CVE-2024-38193, WinSock için Windows Yardımcı İşlev Sürücüsü’nde bir EoP güvenlik açığı;
- CVE-2024-38213, Windows Mark-of-the-Web’deki bir güvenlik özelliği atlama güvenlik açığıdır.
Ivanti Güvenlik Ürünleri Başkan Yardımcısı Chris Goettl’in hemen gözlemlediği gibi iyi haber şu ki, Windows işletim sistemini ve Office’i güncellemek “riskin çoğunu oldukça hızlı bir şekilde ortadan kaldıracak.”
Goettl, sıfır gün listesi üzerinde kuralı çalıştırarak, CVE-2024-38189’un muhtemelen en etkili kural olacağını, çünkü bir saldırganın kurbanının sisteminde keyfi kod yürütme yolunu sosyal mühendislikle bulmasına izin verdiğini söyledi. Ancak, internetten Office dosyalarında makroların çalışmasını engelleyen politikalar ve VBA makro bildirim ayarları gibi hafifletici faktörlerin olduğunu da sözlerine ekledi.
“Bunlar etkinleştirilirse, saldırı engellenebilir. Bir yerlerde bu politika ayarları açıkça devre dışı bırakılmış ve bir saldırganın vahşi ortamda CVE’yi istismar etmesine izin verilmiş. Risk tabanlı rehberlik, Office yüklemelerinizin güncellemesini bu ay almanız olacaktır. Azaltıcı politika ayarları üzerinde sınırlı kontrolünüz varsa veya açık bir BYOD’niz varsa [bring your own device] “Politikanızı değiştirdikten sonra, maruziyetinizi azaltmak için Office’i güncellemek daha acil olabilir” dedi.
Goettl, CVE-2024-38107 için, istismarın saldırganın bir yarış koşulunu kazanmasını gerektirmesine rağmen, daha önce saldırılarda tespit edilmiş olması nedeniyle, bunun düzeltilmesini ertelemek için bir sebep olmaması gerektiğini belirtti.
Kullanıcıları risk temelli rehberliği dikkate almaya ve bu güncellemeyi Microsoft’un söylediğinden daha yüksek önemde olarak değerlendirmeye çağırdı ve aynı şeyin listelenen diğer dört sıfır-gün için de geçerli olduğunu ekledi.
Kamuoyuna açıklanan ancak henüz yaygın olarak kullanıldığı görülmeyen kusurlar şunlardır:
Tenable’da araştırma mühendisi olarak çalışan Scott Caveza, bu dört konuyu incelerken CVE-2024-38202 ve CVE-2024-21302’nin özellikle dikkat çekici olduğunu söyledi.
“İkisi de [these] SafeBreach Labs araştırmacısı Alon Leviev tarafından açıklandı. Birbirine zincirlenirse, bir saldırgan, yükseltilmiş ayrıcalıklara sahip bir kurbanın etkileşimine ihtiyaç duymadan yazılım güncellemelerini düşürebilir veya geri alabilir” dedi Caveza.
“Sonuç olarak, hedef cihazlar daha önce düzeltilen güvenlik açıklarına karşı savunmasız hale gelebileceğinden, önceki düzeltme çabaları esasen silinir ve böylece cihazın saldırı yüzeyi artar.”
Caveza, CVE-2024-38200’ün de yakından takip edilmesi gerektiğini söyledi. “Bir saldırgan, kurbanı muhtemelen bir kimlik avı e-postası aracılığıyla özel olarak hazırlanmış bir dosyaya erişmeye ikna ederek bu güvenlik açığından yararlanabilir. Güvenlik açığının başarılı bir şekilde istismar edilmesi, kurbanın New Technology Lan Manager (NTLM) karmalarını uzaktaki bir saldırgana ifşa etmesiyle sonuçlanabilir,” diye açıkladı.
“NTLM karmaları, bir saldırganın bir organizasyona daha fazla nüfuz etmesini sağlamak için NTLM rölesi veya karma geçiş saldırılarında kötüye kullanılabilir. NTLM röle saldırıları, Rusya merkezli bir tehdit aktörü olan APT28 tarafından gözlemlendi. [Fancy Bear]benzer bir güvenlik açığından yararlanarak saldırılar gerçekleştiren kişiler arasındaydı – CVE-2023-23397, Mart 2023’te Microsoft Outlook’ta düzeltilen bir EoP güvenlik açığı.”