Microsoft, 60’tan fazla hatayı ele alan aylık Salı Yaması güncellemesini yayımladığından, Microsoft SharePoint Server’ı etkileyen kritik bir güvenlik açığı ve Windows MSHTML Platformu ile Windows Masaüstü Pencere Yöneticisi (DWM) Çekirdek Kitaplığı’ndaki iki sıfır gün kusuru yöneticilerin aklına ilk gelen konu olmalıdır. ve sorunlar.
Mayıs 2024 düşüşündeki tek kritik güvenlik açığı olan SharePoint Sunucusu kusuru, CVE-2024-30044 olarak izlenen bir uzaktan kod yürütme (RCE) güvenlik açığıdır. Ayrıntıları henüz kamuya açıklanmadı ve vahşi doğada istismar edildiği de görülmüyor.
Microsoft, kimliği doğrulanmış bir saldırganın site sahibinin izinlerini alması durumunda, kurban sunucuya özel hazırlanmış bir dosya yüklemek ve dosya parametrelerinin seri durumdan çıkarılmasını tetiklemek için özel uygulama programlama arayüzü (API) istekleri oluşturmak için CVE-2024-30044’ten yararlanabileceğini söyledi. Bu şekilde, ele geçirilen sunucu bağlamında RCE’ye ulaşabildiler.
Action1’in başkanı ve kurucu ortağı Mike Walters, CVE-2024-30044’ün güvenilmeyen bir veri seri durumdan çıkarma sorunundan kaynaklanmasının onu özellikle sorunlu hale getirdiğini, çünkü saldırganların seri durumdan çıkarma süreci sırasında rastgele kod enjekte etmesine ve yürütmesine izin verdiğini açıkladı.
Walters, “Temel Site Görüntüleyici izinlerine sahip bir saldırgan, uzaktan kod yürütmek için bu güvenlik açığından yararlanarak web kabukları dağıtma, kötü amaçlı yazılım yükleme veya hassas verileri ayıklama gibi etkinlikleri etkinleştirebilir” dedi. “Bir saldırgan, kimlik avı veya başka bir güvenlik açığı gibi başka yollarla ilk erişimi elde ederse, ağ içinde daha kalıcı ve güçlü bir dayanak oluşturmak için CVE-2024-30044’ü kullanabilir.
“Bu güvenlik açığını ayrıcalık yükseltmeye izin veren başka bir güvenlik açığıyla birleştirmek, saldırganların ilk erişimden tam yönetim kontrolüne geçiş yapmasına olanak sağlayabilir” dedi.
“Bu, ağ içindeki kalıcılığı kolaylaştırabilir ve tespit etmeyi daha zorlu hale getirebilir. Saldırganlar kontrolü sağladıktan sonra hassas verileri SharePoint Sunucusundan sızdırmak için başka araçlar kullanabilir ve bu da potansiyel olarak önemli veri ihlallerine yol açabilir. Ayrıca, uzaktan kod yürütme işlemi gerçekleştirildikten sonra tehdit aktörleri, SharePoint Sunucusundaki kritik dosyaları şifrelemek için fidye yazılımı dağıtabilir ve şifre çözme anahtarları için fidye talep edebilir.”
Nesne bağlama ve yerleştirme
Bu ayki iki sıfır gün kusuru, Windows MSHTML Platformundaki bir güvenlik özelliği atlama güvenlik açığı olan CVE-2024-30040 ve Windows DWM Çekirdek Kitaplığındaki bir ayrıcalık yükselmesi (EoP) güvenlik açığı olan CVE-2024-30051’dir.
Bunlardan ilkinde Microsoft, kötü niyetli bir aktörün, Microsoft 365 ve Microsoft Office’teki nesne bağlama ve yerleştirme (OLE) korumalarını, bir kullanıcının kimlik avı e-postası veya anlık mesaj yoluyla zayıf bir sisteme kusurlu bir dosya yüklemesini sağlayarak atlamasına nasıl izin verdiğini açıkladı. ve onları, mutlaka tıklamaları veya açmaları gerekmese de, onu değiştirmeye ikna etmek. Bu, kimliği doğrulanmamış saldırgana, kurban olarak sunulan rastgele kodu yürütme yeteneği verecektir.
Qakbot için şarlatanlar
Microsoft, Windows DWM Çekirdek Kitaplığı güvenlik açığıyla ilgili olarak, bunun bir saldırganın kurbanın sisteminde sistem düzeyinde ayrıcalıklar kazanmasına olanak sağlayacağını söyledi ancak çok az ek bağlam veya ayrıntı sağladı. Yığın tabanlı bir arabellek taşmasından kaynaklandığı biliniyor, bu da onu potansiyel olarak ciddi hale getiriyor ve aynı zamanda nispeten düşük ayrıcalıklara sahip yerel bir kullanıcı tarafından da istismar edilebiliyor.
İki sıfır gün arasında, kötü şöhretli bir tehditle olan tarihi bağlantısı nedeniyle siber uzmanların ilgisini çeken CVE-2024-30051 oldu.
Fortra’nın güvenlik araştırma ve geliştirmesinden sorumlu kıdemli yöneticisi Tyler Reguly şöyle açıkladı: “Bu ay herkes CVE-2024-30051 hakkında konuşacak çünkü CVE-2024-30051’in QakBot ve diğer kötü amaçlı yazılımlarda kullanıldığı biliniyor. Bu, güvenlik açığının niteliği ve gerçek dünyadaki istismarın doğrulandığı gerçeği göz önüne alındığında, mümkün olan en kısa sürede uygulanması gereken bir güncellemedir.”
Qakbot, geçmişi on yılı aşkın bir süre öncesine dayanan saygın bir bankacılık kötü amaçlı yazılımıdır. Son zamanlarda, LockBit ve REvil gibi fidye yazılımı çeteleri tarafından büyük etki yaratan bir uzaktan erişim truva atı (RAT) olarak siber suçlular arasında popüler hale geldi.
Altyapısı Ağustos 2023’te Ördek Avı Operasyonu adı verilen FBI liderliğindeki bir operasyonla kapatıldı, ancak Şubat 2024 itibarıyla Sophos X-Ops ekibinden araştırmacılar, Qakbot’un kaynak koduna erişimi olan birinin yeni yapıları test ettiğini ve Kötü amaçlı yazılımın şifrelemesini güçlendirmek için yoğun çaba harcıyoruz, bu da yeni varyantın analize daha etkili bir şekilde meydan okuyabileceği anlamına geliyor.
Güvenlik açığı, Kaspersky araştırmacıları tarafından Nisan ayı başında VirusTotal’da bulunan şüpheli bir belgenin dikkatlerini çekmesiyle tespit edildi. Kırık bir İngilizceyle yazılan ve önemli ayrıntıların eksik olduğu belge, Windows işletim sistemindeki olası bir güvenlik açığına işaret ediyordu, ancak yararlanma zinciri, daha önceki bir sıfır gün olan CVE-2023-36033’ü etkinleştirmek için kullanılanla aynı görünüyordu.
Kusurun kurgusal ya da yararlanılamaz bir saçmalık olduğundan şüphelenen Kaspersky ekibi, konuyu daha derinlemesine incelemeyi seçti ve CVE-2023-30051’in gerçek olduğunu hemen bulup bildirdi. Ekip o zamandan beri bu yazılımın kullanımını izliyor ve bugün, bir istismarın nisan ortasından bu yana dolaştığını söyledi.
Kaspersky GReAT baş güvenlik araştırmacısı Boris Larin, “VirusTotal hakkındaki belgeyi açıklayıcı niteliğinden dolayı ilgi çekici bulduk ve daha fazla araştırmaya karar verdik, bu da bizi bu kritik sıfır gün güvenlik açığını keşfetmeye yönlendirdi” dedi. “Tehdit aktörlerinin bu istismarı kendi cephaneliklerine entegre etme hızı, siber güvenlikte zamanında güncelleme ve dikkatli olmanın öneminin altını çiziyor.”
Kaspersky, savunmasız kullanıcıların güncellemesi için yeterli süre geçtikten sonra CVE-2024-30051’in daha fazla teknik ayrıntısını yayınlamayı planladığını söyledi.
Action1’den Walters şunları ekledi: “Kritik doğası ve istismarın düşük karmaşıklığı göz önüne alındığında, CVE-2024-30051, özellikle kurumsal ağlar ve akademik kurumlar gibi çok sayıda ve çeşitli yerel kullanıcının bulunduğu ortamlarda önemli bir risk oluşturuyor.
“İşlevsel istismar kodunun ve onaylanmış istismar raporlarının varlığı, saldırganların bu güvenlik açığından haberdar olduklarını ve kampanyalarda aktif olarak bu açığı kullandıklarını gösteriyor” dedi. “Bu istismar yoluyla elde edilebilecek yüksek ayrıcalık düzeyi göz önüne alındığında, kuruluşların Microsoft’un resmi yazılımlarını dağıtmaya öncelik vermesi çok önemlidir. yama Olası hasarı azaltmak için.”