Microsoft’un Ekim Yaması Salı günü düşüşü geldi ve nispeten büyük bir güncellemede, kamuya açıklanmış toplam beş sıfır gün güvenlik açığını (bunlardan ikisi yaygın olarak kullanıldı) ve dikkat edilmesi gereken diğer üç kritik sorunu ele aldı.
Önemleri orta düzeyde olmasına ve sırasıyla 7,8 ve 6,5 CVSS puanlarına sahip olmasına rağmen, istismar edilen iki sıfır gün bu ay güvenlik ekiplerinin ilk aklına gelmeli; bunlardan biri Microsoft Yönetim Konsolu’ndaki uzaktan kod yürütme güvenlik açığıdır – CVE-2024-43572 – diğeri ise Windows MSHTLM Platformundaki bir kimlik sahtekarlığı güvenlik açığıdır – CVE-2024-45373.
“Ekim ayı Siber Güvenlik Farkındalık Ayı! Ivanti güvenlik ürünleri başkan yardımcısı Chris Goettl, “Siber farkındalığı sürdürmenin, piyasadaki en son güvenlik güncellemelerini okumaktan daha iyi bir yolu olabilir mi?” dedi.
“Microsoft bu ay 117 yeni CVE’yi çözüme kavuşturdu; bunlardan üçü Microsoft tarafından kritik olarak derecelendirildi. Bu ayki listede, kamuya açıklanan ve onları daha yaygın bir istismar riskiyle karşı karşıya bırakan iki sıfır gün açığı bulunuyor. Sıfır gün güvenlik açıklarının her ikisi de bu ayki Windows işletim sistemi güncellemesiyle çözülüyor ve bu da riski hızlı bir şekilde azaltmak için en büyük önceliğiniz haline geliyor.”
Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, bu ikisinden Microsoft Yönetim Konsolu sorununun acilen ele alınması gerektiğini açıkladı.
“Notlarda uzaktan kod çalıştırmanın gerektiği söylense de, bu güvenlik açığı kullanıcı etkileşimi ve bir dereceye kadar sosyal mühendislik gerektiriyor” dedi. “Bu güvenlik açığından yararlanmak için bir saldırganın, açıldığında bir tehdit aktörünün ana bilgisayarın güvenliğini tehlikeye atmasına izin verecek şekilde rastgele kod veya komutlar çalıştıracak kötü amaçlı bir .msc dosyası oluşturması gerekir.
Breen, “Bu dosya genellikle e-posta yoluyla ek olarak veya bir indirme bağlantısı olarak gönderilir” dedi. “Yamalamanın ardından güvenlik ekipleri ve tehdit avcıları, bu dosyaların gönderilip alındığına ilişkin göstergeler için geçmiş günlükleri proaktif bir şekilde kontrol etmelidir.”
İzleme ve engelleme
Breen, yamayı hemen dağıtamayanların, .msc dosyalarını hedefleyen ek izleme ve engelleme kuralları eklemeyi düşünmeleri gerektiğini ekledi; uygulanan düzeltme aynı zamanda bunların sistemde yürütülmesini de engelliyor.
Bu arada Breen’in meslektaşı, Immersive Labs’ta siber güvenlik mühendisi olan Nikolas Cemerikic, kuralı CVE-2024-45373 üzerinden yürüttü. Şöyle söyledi: “Güvenlik açığı, bir saldırganın kullanıcıları, platformun belirli web öğelerini işleme şekli nedeniyle meşru görünebilecek kötü amaçlı web içeriğini görüntülemeleri için kandırmasına olanak tanıyor.
“Bir kullanıcı, genellikle kimlik avı saldırıları yoluyla bu içerikle etkileşime girecek şekilde aldatıldığında, saldırgan potansiyel olarak hassas bilgilere yetkisiz erişim elde edebilir veya web tabanlı hizmetleri manipüle edebilir. Daha da önemlisi, bu saldırı, kullanıcının sistemi hakkında özel bir izin veya bilgi gerektirmiyor, bu da siber suçluların gerçekleştirmesini nispeten kolaylaştırıyor.”
Önem derecesi daha düşük olmasına rağmen, halihazırda kötüye kullanılıyor ve bu da onu büyük kuruluşlar, özellikle de çok sayıda eski web uygulaması çalıştıran kuruluşlar için ciddi bir endişe kaynağı haline getiriyor (örneğin, MSHTML platformu, artık kullanımdan kaldırılan Internet Explorer’ın temelini oluşturuyor) ve hala yaygın olarak kullanılıyor uyumluluk nedeniyle.
Cemerikic, bunun, günlük işlerinde eski sistemleri kullanan çalışanlar için “özellikle hassas verilere erişiyorsa veya çevrimiçi finansal işlemler gerçekleştiriyorsa” risk yarattığını söyledi.
Kıvrılıp öl
Kamuya açıklanan diğer üç hata, Açık Kaynak Curl’de bir RCE sorunu olan CVE-2024-6197, Windows Hyper-V’de bir güvenlik özelliği atlama sorunu olan CVE-2024-20659 ve bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2024-43583’ten oluşuyor. Winlogon’da. Her üçü de yedi ila sekiz arasında CVSS puanı taşıyor ancak hiçbirinin henüz istismar edildiği bilinmiyor.
Bunlardan ilki, yaygın olarak kullanılan açık kaynak Curl kütüphanesini etkileyen, yığında ayrılmayan belleğin uygun olmayan şekilde serbest bırakılmasından kaynaklanan ve kod yürütmek için kullanılabilecek tuhaf davranışlara yol açan bir sorundan kaynaklanıyor, diye açıklıyor Başkan ve CEO’su Mike Walters. Action1’in kurucu ortağı.
Walters, birden fazla ağ protokolünde veri aktarımının ayrılmaz bir parçası olan Curl’deki bellek yönetiminin temel mimarisini etkilediği için bunun özellikle endişe verici olduğunu söyledi. Windows genellikle Curl kitaplığıyla birlikte gelmese de komut satırı aracını içerir, dolayısıyla uyarı verir.
“Bu güvenlik açığından yararlanmanın olası sonuçları arasında bir saldırgan tarafından istemci sisteminde uzaktan kod yürütülmesi; güvenliği ihlal edilmiş sistemler, veri sızması veya daha fazla ağ sızması için ağ geçitleri haline gelir, [and] Etkilenen istemci üzerinde tam kontrole sahip olmak, potansiyel olarak yaygın kötü amaçlı yazılım dağıtımına veya kötüye kullanıma yol açabilir” dedi Walters.
“Saldırganlar bu güvenlik açığını ortadaki adam yönetimini gerçekleştirmek için kullanabilir [MitM] istemci isteklerini kötü amaçlı sunuculara yönlendirerek saldırılar gerçekleştirir. Ağın yatay hareketine izin veren güvenlik açıklarıyla birleştiğinde bu durum, saldırganın bir kuruluşun ağının büyük bölümlerine sızma ve onu kontrol etme yeteneğini önemli ölçüde artırabilir.
“Curl’un hem açık kaynaklı hem de özel sistemlerdeki yaygınlığı göz önüne alındığında, kapladığı alan çok büyük” dedi.
Bu arada Winlogon EoP kusuru, sisteme giriş aşamasında süreçlerin uygunsuz şekilde yönetilmesinden kaynaklanıyor ve Winlogon’un Giriş Yöntemi Düzenleyicileri (IME’ler), özellikle de üçüncü taraf olanlarla etkileşimindeki temel zayıflıklar tarafından kolaylaştırılıyor.
Walters, “Bu güvenlik açığı, ilk erişimin başka bir yerel istismar veya sosyal mühendislik taktikleri yoluyla elde edilebileceği çok adımlı bir saldırıda kullanılabilir” dedi. “Uzak saldırganlar yerel erişim elde ettikten sonra, bu EoP güvenlik açığından yararlanmak, güvenli ortamlara daha derinlemesine nüfuz etmeyi sağlayabilir.
“Windows sistemlerini kullanan kuruluşlar, özellikle de dilsel veya bölgesel amaçlarla üçüncü taraf IME’leri kullanan kuruluşlar önemli risk altındadır. Bu güvenlik açığı, küresel şirketler veya eğitim kurumları gibi çok dilli desteğin hayati önem taşıdığı çeşitli ortamlarda özellikle geçerlidir” diye ekledi.
Üçüncüsü olan Hyper-V güvenlik açığına gelince, iyi haber şu ki, Fortra’nın güvenlik araştırma ve geliştirme direktör yardımcısı Tyler Reguly’nin açıkladığı gibi, bu durum onu daha az dikkate değer kılmasa da, biraz daha az etkili olabilir.
Reguly, “Neyse ki… bu güvenlik açığından yararlanıldığını görme ihtimalimizi azaltan bir dizi kriter var” dedi.
“Microsoft, yalnızca belirli donanımların etkilendiğini ve bunun UEFI’nin atlanmasına izin verebileceğini ve hipervizörün ele geçirilmesine yol açabileceğini belirtiyor; bu, Microsoft’un işaretlediği gibi öncelikle sistemin yeniden başlatılmasını ve saldırganın yerel ağa erişiminin olmasını gerektirecektir.” CVSS puanındaki saldırı vektörü ve nadiren görülen bitişik değer, saldırının aynı fiziksel veya mantıksal ağdan kaynaklanması gerektiği anlamına gelir.”