Microsoft, Haziran ayı Salı Yaması güvenlik güncelleştirmesinde toplam 49 güvenlik açığına yönelik düzeltmeler yayınladı; bunlar arasında, çok sayıda şirkete uzaktan kod yürütme (RCE) ve sunucu devralımına yol açabilecek Microsoft Mesaj Kuyruklama (MSMQ) teknolojisindeki kritik bir hata da dahildir.
Sorun (CVE-2024-30080CVSS puanı (10 üzerinden 9,8) uzaktan istismar edilebilir, saldırı karmaşıklığı düşüktür, ayrıcalık gerektirmez ve kullanıcı etkileşimi gerektirmez; Microsoft’a göre gizlilik, bütünlük ve kullanılabilirlik üzerinde büyük etkiler taşıyor. Saldırganlar, özel hazırlanmış kötü amaçlı bir MSMQ paketi göndererek etkilenen sunucuyu tamamen ele geçirmek için bunu kullanabilir. Güvenlik açığını kontrol etmek için kullanıcıların ‘Message Queuing’ hizmetinin çalışıp çalışmadığını ve sistemde TCP bağlantı noktası 1801’in açık olup olmadığını doğrulamaları gerekir. Hata, Windows Server 2008 ve Windows 10’dan başlayarak tüm Windows sürümlerini etkilemektedir.
Etkisi tehdit ortamında er ya da geç hissedilebilir, bu nedenle hızlı bir şekilde yama uygulamak bir zorunluluktur: “Birkaç hızlı Shodan araması, 1801 numaralı bağlantı noktası açık olarak çalışan bir milyondan fazla ana bilgisayarın ve ‘msmq’ için 3500’ün üzerinde sonucun ortaya çıktığını ortaya koyuyor” dedi Tyler Reguly, e-postayla gönderilen bir bildiride Fortra’nın güvenlik Ar-Ge direktör yardımcısı. “Bunun uzaktan kod yürütme olduğu göz önüne alındığında, bu güvenlik açığının yakın gelecekte yararlanma çerçevelerine dahil edilmesini bekliyorum.”
Bu, Microsoft’un bu ay kritik olarak değerlendirdiği tek hatadır, ancak güvenlik analistlerine göre güncellemede hemen ilgilenilmesi gereken birkaç hata daha var.
Haziran 2024 İçin Yüksek Öncelikli Microsoft Hataları
Yama listesinin en üstüne yerleştirilecek yüksek öncelikli hatalar arasında şunlar yer alıyor: CVE-2024-30103Microsoft Outlook’ta Önizleme Bölmesinin bir saldırı vektörü olduğu bir uzaktan kod yürütme (RCE) güvenlik açığı; CVE-2024-30089Microsoft Streaming Services’te, saldırganlara sistem düzeyinde erişim elde etme yolu sağlayan bir güvenlik açığı; CVE-2024-30085Windows Cloud Files Mini Filtre Sürücüsünde Microsoft’un istismar edilme olasılığının daha yüksek olduğunu belirlediği bir ayrıcalık yükseltme hatası; Ve CVE-2024-30099Windows Çekirdek Sürücüsünde, saldırganların etkilenen sistemi ele geçirmek için kötüye kullanabileceği bir ayrıcalık yükselmesi (EoP) güvenlik açığı.
Toplamda Microsoft, 49 güvenlik açığından 11’ini şu şekilde kategorize etti: bu ayın güncellemesi saldırı karmaşıklığının düşük olması ve saldırganların bunlardan yararlanmak için özel ayrıcalıklara veya kullanıcı etkileşimine ihtiyaç duymaması gibi faktörler nedeniyle tehdit aktörlerinin istismar etme olasılığı daha yüksek olan kusurlar olarak görülüyor.
Önceliklendirilecek RCE Hataları
Bu ayın kayda değer RCE hataları koleksiyonu şunları içeriyor: CVE-2024-30101Microsoft Office’te bir saldırının başarılı olması için aktif kullanıcı etkileşimi gerektiren bir serbest kullanımdan sonra kullanım hatası; CVE-2024-30104 Microsoft Office’te; ve bir saldırganın e-postadaki Önizleme Bölmesi aracılığıyla tetikleyebileceği Microsoft Outlook’taki daha önce bahsedilen CVE-2024-30103.
İkincisi potansiyel olarak özellikle tehlikelidir çünkü bir saldırgan bunu Outlook kayıt defteri engelleme listelerini atlamak ve kötü amaçlı DLL dosyalarının oluşturulmasını sağlamak için kullanabilir.
“Bu Microsoft Outlook güvenlik açığı kullanıcıdan kullanıcıya yayılabilir ve yürütülmesi için bir tıklama gerektirmez.” Morphisec araştırmacıları bir blogda şunları söyledi:. “Daha ziyade, etkilenen bir e-posta açıldığında yürütme başlatılıyor. Bu, Microsoft Outlook’un otomatik e-posta açma özelliğini kullanan hesaplar için özellikle tehlikelidir.”
Microsoft’un kendisi de bu kusuru, saldırganların yararlanma olasılığının daha düşük olduğu bir şey olarak değerlendirdi.
Yüksek Sayıda Ayrıcalık Yükselmesi Hataları
Alışılmadık bir şekilde, bu sefer RCE hatalarından daha fazla EoP hatası vardı ve yama yapılan CVE’lerin neredeyse yarısını oluşturuyordu.
Tenable’ın kıdemli kadrolu araştırma mühendisi Satnam Narang, Microsoft Streaming Services’taki hata olan CVE-2024-30089’un kuruluşların en çok öncelik vermesi gereken ayrıcalık yükseltme kusurlarından biri olduğuna dikkat çekti.
Narang, “Bu tür kusurlar, güvenliği ihlal edilmiş bir sistemdeki ayrıcalıkları yükseltmek isteyen siber suçlular için oldukça faydalıdır” dedi. “Sıfır gün olarak vahşi doğada istismar edildiklerinde, genellikle daha gelişmiş kalıcı tehdit (APT) aktörleriyle veya hedefli saldırıların bir parçası olarak ilişkilendirilirler.”
CVE-2024-30089, Microsoft’un bu ay Yayın Hizmeti’nde açıkladığı iki EoP güvenlik açığından biridir. Diğeri ise CVE-2024-30090Bu aynı zamanda saldırganlara sistem düzeyinde ayrıcalıklar kazanmaları için bir yol sağlar ancak istismar edilmesi daha zordur.
Immersive Lab tehdit araştırması kıdemli direktörü Kev Breen, hazırlanan yorumlarında CVE-2024-30085’i muhtemelen saldırganların ilgisini çekecek başka bir EoP kusuru olarak tanımladı. Windows Cloud Mini Files Driver’daki hata, yerel bir makinede sistem düzeyinde ayrıcalıklara izin veriyor.
“Bu tür bir ayrıcalık yükseltme adımı, saldırganın yanal hareket ve daha fazla uzlaşma için güvenlik araçlarını devre dışı bırakmasına veya Mimikatz gibi kimlik bilgileri boşaltma araçlarını çalıştırmasına olanak tanıdığından ağ güvenliği ihlallerinde tehdit aktörleri tarafından sıklıkla görülüyor” dedi. Microsoft’un kusur açıklaması, bunun aynı olduğunu gösteriyor CVE-2023-36036A sıfır gün hatası Breen, saldırganların geçen yıl aktif olarak yararlandığı Bulut Dosyaları Mini Filtresi’ndeki bir güvenlik açığının bulunduğunu söyledi.
CVE-2024-30099 Microsoft’un daha fazla yararlanılabilir hatalar kategorisinde listelediği başka bir EoP güvenlik açığıdır. Hatayı özellikle dikkat çekici kılan şey, NT OS çekirdeğinde mevcut olmasıdır. Güvenlik açığı, çekirdek içindeki bir yarış koşulunu tetikleyebilen ve kazanabilen bir saldırganın, etkilenen sistemi ele geçirmesine olanak tanır. Ancak bir saldırganın başarılı olabilmesi için Windows Mesaj Sıralama Hizmetinin etkinleştirilmesi gerekir.
Immersive Labs’ın baş siber güvenlik mühendisi Ben McCarthy, e-postayla gönderilen yorumlarda “Bu güvenlik açığı, işletim sistemi açısından çok merkezi olduğundan herkesin yama listesinde yer almalı” dedi.
McCarthy, kuruluşların önceliklendirmesi gereken çekirdekle ilgili başka EoP güvenlik açıklarının da bulunduğunu belirtti. Bunlar şunları içerir: CVE-2024-35250, CVE-2024-30084, CVE-2024-30064, CVE-2024-30068Ve CVE-2024-35250.
“Bu tür güvenlik açıkları genellikle saldırganların yama gününden sonra silah haline getirmeye çalışacağı şeylerdir” dedi. “Dolayısıyla çekirdekle ilgili güvenlik açıklarını düzeltmek her zaman akıllıca olacaktır çünkü bu güvenlik açıklarından başarıyla yararlanılması, bilgisayar kaynaklarına tam erişim elde edilmesi ve SİSTEM ayrıcalıkları olarak çalıştırılması anlamına gelir.”