Eylül ayının ikinci Salı günü, Microsoft’un en son Patch Tuesday güncellemesiyle siber güvenlik için önemli bir tarih olduğunu bir kez daha kanıtladı. Bu ayki sürüm, dört sıfır günlük kusur da dahil olmak üzere göz korkutucu bir dizi güvenlik açığıyla dolu.
Eylül 2024 Yaması Salısı, toplam 79 güvenlik açığını ele alması bakımından özellikle dikkat çekicidir; bunlardan dördü sıfırıncı gün tehditleridir; bunlardan ikisi aktif olarak istismar edilir ve biri de kamuoyuna açıklanmıştır.
Bu ay Microsoft, Microsoft Office ve Windows Mark of the Web’deki güvenlik özelliklerini aşan iki sıfır günlük güvenlik açığını ele aldı. Her ikisi de vahşi doğada istismar edildi ve yaygın etkileri nedeniyle acilen düzeltmeye ihtiyaç duyulduğunu vurguladı.
Microsoft Eylül 2024 Salı Yaması: Kritik Güvenlik Açıkları ve Sıfır Gün Saldırıları
Güvenlik açıkları listesinde, Windows Servicing Stack Uzaktan Kod Yürütme (RCE) güvenlik açığı olan CVE-2024-43491, 9.8’lik yüksek CVSSv3.1 taban puanı nedeniyle önemli bir endişe kaynağıdır. Bu ciddi risk Windows 10, sürüm 1507’yi, özellikle Windows 10 Enterprise 2015 LTSB ve Windows 10 IoT Enterprise 2015 LTSB’yi etkiler.
Bu kusur, Windows Servicing Stack’teki bir gerilemeden kaynaklanan bir ön kimlik doğrulama RCE güvenlik açığıdır ve bu gerileme, birden fazla önceki güvenlik açığı için düzeltmeleri yanlışlıkla geri almıştır. Ciddiyetine rağmen, Microsoft bu kusurun vahşi doğada istismar edildiğini gözlemlememiştir. Sorun Microsoft tarafından dahili olarak keşfedilmiştir ve hem Servicing Stack hem de Windows İşletim Sisteminin kendisi için yamalar belirtilen sırayla uygulanmalıdır.
“CVE-2024-38226, Microsoft Office’in bazı sürümlerinde de bulunan bağımsız bir uygulama olan Microsoft Publisher’daki bir kusurdur,” diye ekledi Narang. “CVE-2024-38217, Microsoft Windows’da internetten indirilen dosyaların içeriğini işaretleyen veya engelleyen önemli bir güvenlik özelliği olan Mark of the Web’deki bir güvenlik açığıdır. Hem CVE-2024-38226 hem de CVE-2024-38217’nin istismarı, Microsoft Office makrolarının çalışmasını engelleyen önemli güvenlik özelliklerinin atlatılmasına yol açabilir.”
“LNK stomping” olarak bilinen CVE-2024-38217, Mark-of-the-Web (MotW) sisteminde bir güvenlik özelliği atlamasını içerir. Bu güvenlik açığı, bir saldırganın explorer.exe aracılığıyla mevcut bir LNK dosyasının üzerine yazmasına ve SmartScreen ve Windows Attachment Services istemi gibi güvenlik kontrollerini atlatmasına olanak tanır. Bu sorun kamuya açıklanmış ve GitHub’daki istismar koduna bağlanmıştır ve bu da 2018’e kadar uzanan uzun istismar geçmişini göstermektedir.
CVSSv3.1 puanı 7.8 olan CVE-2024-38014, Windows Installer aracılığıyla ayrıcalık yükseltmesine izin veren Önemli bir güvenlik açığı olarak sınıflandırılmıştır. Bu kusur, düşük saldırı karmaşıklığı ve ayrıcalık gereksinimleri nedeniyle kötü amaçlı yazılım yazarları için oldukça çekici olan SYSTEM ayrıcalıklarıyla kod yürütülmesini sağlayabilir. Bu kusur, resmi desteğinin sona ermesine rağmen Windows’un tüm güncel sürümlerini ve hatta Server 2008’i etkiler.
Narang, “CVE-2024-38014, bir saldırganın hedef sisteme erişim elde ettiği ve ayrıcalıkları yükseltmek için bu tür güvenlik açıklarından yararlanacağı bir uzlaşma sonrası etkinliğin parçasıdır,” diye belirtti. “CVE-2024-38014 gibi kusurlar, daha fazla uzlaşmaya olanak tanıdıkları için saldırganlar için oldukça değerlidir, bu nedenle kuruluşların saldırı yollarını kesmek ve gelecekteki uzlaşmaları önlemek için bu kusurları düzeltmesi hayati önem taşır.”
Microsoft Publisher’ı etkileyen yerel güvenlik özelliği atlama, Office makro politikalarında bir kusur içerir. İstismar, saldırganın kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna etmesini gerektirir, ancak hedef sistemde kimlik doğrulaması da yapılmalıdır. Bu saldırı vektörünün özellikleri tam olarak ayrıntılı değildir, ancak belge güvenlik ayarlarını yönetmede dikkatli olma ihtiyacını vurgular.
Kritik RCE Güvenlik Açıkları ve Diğer Güncellemeler
Sıfır gün düzeltmelerine ek olarak, Eylül 2024 Salı Yaması, özellikle uzaktan kod yürütmeye (RCE) izin verenler olmak üzere altı kritik güvenlik açığını ele alıyor. Bunlar şunları içerir:
- CVE-2024-38018: Microsoft SharePoint Server RCE
- CVE-2024-43464: SharePoint Sunucusu RCE
- CVE-2024-38119: Windows NAT RCE
CVE-2024-38018 ve CVE-2024-43464 SharePoint Server güvenlik açıklarıdır. CVE-2024-38018 Site Üyesi izinleri gerektirirken, CVE-2024-43464 kötü amaçlı bir dosya yüklendikten sonra RCE’ye yol açan güvenilmeyen verilerin seri hale getirilmesini içerir. Her ikisi de potansiyel etkileri ve istismar olasılıkları nedeniyle Kritik olarak kabul edilir.
Windows ağ Adres Çevirisi’ndeki (NAT) kritik bir RCE güvenlik açığı olan CVE-2024-38119, ağ bitişikliği gereksinimi nedeniyle yüksek bir saldırı karmaşıklığına sahiptir. Özellikle, Server 2012/2012 R2, ciddiyeti göz önüne alındığında tuhaf bir karar olan bu güvenlik açığı için bir yama almaz.
Windows istemcileri için Eylül 2024 Salı Yaması güncellemeleri şunları içerir:
- KB5043076: Windows 11 sürümleri 23H2/22H2
- KB5043067: Windows 11 sürüm 21H2
- KB5043064: Windows 10 sürümleri 22H2/21H2
- KB5043050: Windows 10 sürüm 1809
Bu güncellemeler yeni özelliklerden ziyade, çoğunlukla küçük yamalar ve güvenlik düzeltmelerinden oluşuyor.
Microsoft Patch Tuesday’in Önemi
Patch Tuesday, Microsoft’un her ayın ikinci Salı günü yazılım güncellemelerini yayınlamak için düzenli programını ifade eder. Bu güncellemeler, güvenlik açıklarını gidermek ve sistem istikrarını sağlamak için çok önemlidir. BT yöneticileri bu programa uyarak güncellemeleri verimli bir şekilde planlayabilir, kesinti süresini en aza indirebilir ve sistem güvenliğini koruyabilir.
Patch Tuesday’de yayınlanan yamalar, bilinen güvenlik açıklarını gidererek olası siber tehditlere karşı koruma sağlamaya yardımcı olur. Bu güncellemelerin düzenli olarak uygulanması, sistemleri korumak, güvenlik standartlarına uyumu sürdürmek ve optimum performansı sağlamak için önemlidir.
Benzer şekilde, bu Salı Yaması ile, “Microsoft ayrıca, bazı İsteğe Bağlı Bileşenleri etkileyen belirli Windows 10 sürümleri için düzeltmelerin geri alınmasına yol açan Servis Yığınındaki bir güvenlik açığı olan CVE-2024-43491’i de düzeltti,” diye belirtti Narang. “Bu kusurun istismarı, geri alma nedeniyle yeniden ortaya çıkan daha önce bilinen güvenlik açıklarıyla bağlantılı görünüyor. Kullanıcıların bu sorunu düzeltmek için hem Eylül 2024 Servis Yığını Güncelleştirmesini hem de Eylül 2024 Windows Güvenlik Güncelleştirmelerini uygulamaları gerekiyor.”
Eylül 2024 Patch Tuesday güncellemesi, Microsoft’un kritik güvenlik sorunlarını ele almak ve kullanıcıları ortaya çıkan tehditlerden korumak için devam eden çabalarını vurgulamaktadır. Dört sıfır günlük güvenlik açığı ve altı kritik sorun düzeltildiğinden, kuruluşlar ve bireyler sistemlerini olası istismarlara karşı güvence altına almak için bu güncellemeleri derhal uygulamalıdır.