Microsoft’un Temmuz Salı Güncellemesi’nde 140’a yakın yeni genel güvenlik açığı ve açığı (CVE) düzeltmesi yayınlamasının ardından güvenlik ekiplerini yoğun birkaç gün bekliyor. Bunlar arasında işlemci devi ARM aracılığıyla üçüncü taraf bir güncelleme de dahil olmak üzere dört sıfır günlük istismar da yer alıyor.
Dört sıfır gün, sayısal sırayla aşağıdaki gibi listelenmiştir:
- CVE-2024-35264, .NET ve Visual Studio’da uzaktan kod yürütme (RCE) güvenlik açığı. Bu güvenlik açığı 8.1 CVSS puanına sahip, ancak buna karşılık, bir kavram kanıtı istismarı dolaşıyor olsa da henüz bundan yararlanılmış gibi görünmüyor;
- CVE-2024-37895, ARM’yi etkileyen bir bilgi ifşa güvenlik açığı. Bu hata 5.9’luk bir CVSS puanına sahiptir, ancak kamuoyuna açıklanmış olmasına rağmen henüz istismar edilmemektedir;
- Windows Hyper-V’de bir ayrıcalık yükseltme (EoP) açığı olan CVE-2024-38080. Bu güvenlik açığı 7,8 CVSS puanına sahiptir ve genel kullanıma açık bir istismar yayınlanmamış olsa da, yaygın olarak istismar edildiği bilinmektedir;
- CVE-2024-38112, Windows MSHTML Platformunda bir sahtecilik açığı. Bu açığın CVSS puanı 7,5’tir. Genel bir istismar mevcut değildir ancak henüz bilinmeyen saldırganlar tarafından kullanılmaktadır.
Hyper-V açığına odaklanan yama yönetimi uzmanı Action1’den Mike Walters, bunun Hyper-V kullanan sistemler için “önemli bir risk” oluşturduğunu söyledi – istismar edilmesi nispeten basit görünüyor, bir saldırgan örneğin sanal makinedeki tehlikeye atılmış bir kullanıcı hesabı aracılığıyla ilk yerel erişimi elde ederse kolayca yönetici hakları elde edebiliyor. Sonuç olarak, Hyper-V içindeki bir tamsayı taşma sorunundan yararlanıyor.
Walters, “CVE-2024-38080 … saldırganların yüksek ayrıcalıklar elde ederek birden fazla sanallaştırılmış sistemin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atmaları için açık bir yol olduğunu gösteriyor” dedi.
“Uzaktan kod yürütme kusurları veya kimlik avı veya istismar kitleri gibi ilk erişim istismarları gibi diğer güvenlik açıklarıyla birleştiğinde, saldırı vektörü daha karmaşık ve zarar verici hale geliyor.
“Zamanında yama uygulama ve sağlam güvenlik uygulamalarına sıkı sıkıya bağlı kalma gibi proaktif bir güvenlik yaklaşımının benimsenmesi, bu riskleri etkili bir şekilde azaltmak için hayati önem taşıyor” diye ekledi.
Qualys Tehdit Araştırma Birimi’nde (TRU) ürün yöneticisi olan Saeed Abbasi şunları ekledi: “Bu güvenlik açığı saldırganlara fidye yazılımı ve diğer kötü amaçlı saldırıların dağıtımına olanak tanıyacak en üst düzeyde sistem erişimi sağlayabileceğinden etkisi çok büyük.
“Microsoft etkin istismarın kapsamını açıklamasa da, güvenlik açığının doğası onu saldırganlar için birincil hedef haline getiriyor. Derin sistem kontrolü potansiyeli nedeniyle, bu güvenlik açığı artan istismar girişimlerine hazır. Düşük karmaşıklık ve kullanıcı etkileşimi gereksiniminin olmaması kombinasyonu, istismar kitlerine hızla dahil edilmesi ve yaygın istismara yol açması muhtemel olduğu anlamına geliyor.
Abbasi şunları ekledi: “Ayrıca, ayrıcalıkları artırma yeteneği, bu güvenlik açığını fidye yazılımı saldırıları için özellikle zararlı hale getiriyor, çünkü saldırganların güvenlik önlemlerini kapatmalarına ve ağlar arasında daha etkili bir şekilde yayılmalarına olanak tanıyor ve böylece bu tür saldırıların etkisini önemli ölçüde artırıyor.”
Bu arada, Immersive Labs’ın baş siber güvenlik mühendisi Rob Reeves, Windows MSHTLM platformu güvenlik açığıyla ilgili kuralı çalıştırdı. “Microsoft’tan gelen ayrıntılar yetersiz ve yalnızca bir ‘sahtecilik’ güvenlik açığı olarak tanımlanıyor, bu da bir kullanıcıyı teslim edilen bir dosyayı yürütmeye ikna etmek için sosyal mühendislik gerektiriyor,” dedi.
“Güvenliğin CWE-668: Kaynağın Yanlış Alana Açığa Çıkarılması ile bağlantısı nedeniyle uzaktan Kod yürütülmesine yol açabileceği ve başarılı bir şekilde istismar edilmesi durumunda gizliliğin, bütünlüğün ve erişilebilirliğin tamamen tehlikeye girmesine yol açabileceği değerlendirilmektedir. İstismarın zorluğu nedeniyle yalnızca 7,5 olan CVSS puanı, muhtemelen yalnızca saldırının karmaşıklığından kaynaklanmaktadır.
Reeves, Microsoft’tan veya orijinal muhabirden (Check Point araştırmacısı) daha fazla ayrıntı gelmeden sonraki adımlar hakkında özel bir rehberlik sağlamanın zor olduğunu, ancak Windows Server 2008 R2 ve sonrasındaki tüm ana bilgisayarları (istemciler dahil) etkilediği ve aktif olarak istismar edildiği göz önüne alındığında gecikmeden yama uygulanması için önceliklendirilmesi gerektiğini söyledi.
Sıfır günlere ek olarak, Temmuz 2024 güncellemesi ayrıca CVSS puanları 7.2 ila 9.8 arasında olan beş kritik açığı, hepsi RCE güvenlik açığı olarak listeliyor. Bunlardan üçü Windows Uzak Masaüstü Lisanslama Hizmeti ile, biri Microsoft Windows Codecs Kitaplığı ile ve beşincisi Microsoft SharePoint Server ile ilgilidir.
Oyuncular dikkat
Son olarak, Xbox Kablosuz Bağdaştırıcısındaki bir başka RCE açığı da dikkat çekti ve tüketici cihazlarının ve ağlarının güvenliğinin, bir kuruluşu etkileyen herhangi bir bulut sunucusu açığı kadar tehdit aktörünün saldırı zincirinde yararlı bir unsur olabileceğini açıkça ortaya koydu.
CVE-2024-38078 olarak takip edilen bu kusur, saldırganın hedef sisteme fiziksel olarak yakın olması ve hedef ortam hakkında belirli bilgiler toplaması durumunda istismar edilebilir hale geliyor.
Bu karmaşıklık, istismar edilme olasılığını azaltsa da, istismar edilmesi durumunda saldırgan, adaptörü kullanan bitişik bir sisteme kötü amaçlı bir ağ paketi gönderebilir ve buradan RCE elde edebilir.
“Evden çalışma düzeninde, alarm sistemleri ve akıllı televizyonlar gibi IoT cihazları da dahil olmak üzere tüm cihazların güvenliğini sağlamak esastır. Saldırganlar, yetkisiz erişim elde etmek ve hassas bilgileri tehlikeye atmak için bu güvenlik açığından yararlanabilir. Wi-Fi sinyallerinin tespit edilebileceği, kesilebileceği ve yayınlanabileceği mesafe genellikle hafife alınır ve bu da bu güvenlik açığının riskini daha da artırır,” diyor Automox güvenlik operasyonları ekibi lideri Ryan Braunstein.
“Bu tehditleri azaltmak için tüm cihazlarınıza düzenli güncellemeler uygulayın ve sağlam parolalar ve şifreleme gibi güçlü ağ güvenliği önlemlerini benimseyin.
Braunstein, “Tüm çalışanları, arkadaşları ve aile üyelerini cihazların yamalanması ve güncel tutulmasının önemi konusunda eğitmek sizi partilerde popüler yapmayabilir, ancak kesinlikle gece 2’de yapılan telefon görüşmelerini azaltabilir” diye ekledi.