Mart 2024 Yaması Salı günü Microsoft, 59 CVE numaralı güvenlik açığına yönelik düzeltmeler yayınladı, ancak hoş geldiniz haberleri! – hiçbiri şu anda kamuoyu tarafından bilinmiyor veya aktif olarak istismar edilmiyor.
Ancak geçen ay, Salı Yaması'ndan birkaç gün sonra şirket, bu belirli güvenlik açıklarının vahşi ortamda istismar edildiğini belirten iki uyarıyı güncelledi.
Bu iki güvenlik açığından biri olan Windows Çekirdeğini etkileyen bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2024-21338, Avast araştırmacıları tarafından Microsoft'a rapor edilmişti ve daha sonra araştırmacılar bu güvenlik açığının yamanın yayınlanmasından aylar önce Kuzey Koreli bilgisayar korsanları tarafından kullanıldığını paylaştı. Microsoft, ilgili tavsiye belgesini ilk yayınladığında bunu açıkça biliyordu, ancak kullanım dışı kullanım ancak Avast'ın bilgileri halka açıklamasından sonra doğrulandı.
Microsoft'un bu ay aynı numarayı tekrarlayıp tekrarlamayacağını zaman gösterecek. Bu arada yöneticilerin mevcut bilgilere göre yamalara öncelik vermeye başlaması gerekiyor.
Özellikle dikkat edilmesi gereken güvenlik açıkları
İki kritik Windows Hyper-V güvenlik açığı düzeltildi; biri (CVE-2024-21407) konuktan ana bilgisayara kaçış adı verilen bir yöntemle uzaktan kod yürütülmesine (RCE) izin verilmesi ve diğer hizmet reddi (CVE-2024-21408). Microsoft, bir DoS güvenlik açığının neden “kritik” olarak değerlendirilmesi gerektiğini açıklamadı ancak yöneticilere, hipervizörü çalıştıran Windows sistemlerini yükseltmeleri tavsiye ediliyor.
Trend Micro'nun Sıfır Gün Girişimi'nin tehdit farkındalığı başkanı Dustin Childs öne çıktı CVE-2024-26198Microsoft Exchange Server'ı etkileyen, kimliği doğrulanmamış bir RCE kusuru da önemli.
“Bu hata klasik bir DLL yükleme güvenlik açığıdır. Saldırgan, kontrol ettiği bir konuma özel hazırlanmış bir dosya yerleştirir. Daha sonra kullanıcıyı, hazırlanmış DLL'yi yükleyen ve kodun yürütülmesine yol açan dosyayı açmaya ikna ediyorlar” diye açıkladı.
Düzeltme eki, Microsoft Exchange Server 2016 ve 2019 için toplu güncellemeler yoluyla sunuluyor. (Microsoft'un Exchange Ekibi, Exchange Online müşterilerinin zaten korunduğunu belirtti.)
CVE-2024-21400Azure Kubernetes Hizmeti (AKS) Gizli Kapsayıcılarını etkileyen bir ayrıcalık yükselmesi güvenlik açığı olan .
Automox'ta güvenlik mühendisi olan Mat Lee, Help Net Security'ye şöyle konuştu: “İhlal, aslında saldırganlar için bir arka kapı açarak gizli sistemin gizliliğini ve bütünlüğünü tehlikeye atıyor.”
“Bu güvenlik açığının mekanizması, gizli kaynaklarla etkileşim kurmaya yönelik bir CLI aracı olan 'az confcom'u kullanarak konteynerin güvenlik sınırlarının istismar edilmesini ve hassas bilgilere yetkisiz erişime yol açmayı içeriyor. Uygulamaları dağıtmak için gizli kapsayıcıların giderek daha fazla benimsendiği göz önüne alındığında, bu güvenlik açığının potansiyel etkisi oldukça büyüktür. Azure Kubernetes Hizmeti kullanan kuruluşlar, sistemlerini olası ihlallerden korumak için confcom cli aracını/eklentisini >0.3.3'e yamamaya öncelik vermelidir.”
Tenable'ın kıdemli personel araştırma mühendisi Satnam Narang, Microsoft tarafından bu Salı Yaması'nda yamalanan yalnızca altı güvenlik açığının istismar edilme olasılığının “daha yüksek” olarak değerlendirildiğini belirtiyor.
“Bunlar çoğunlukla ayrıcalık yükselmesi güvenlik açıklarını içeriyor: CVE-2024-26182 (Windows Çekirdeği), CVE-2024-26170 (Windows Bileşik Görüntü Dosya Sistemi), CVE-2024-21437 (Windows Grafik Bileşeni) ve CVE-2024-21433 (Windows Yazdırma Biriktiricisi), genellikle gelişmiş kalıcı tehdit (APT) grupları tarafından istismar sonrası faaliyetlerin bir parçası olarak sıfır gün olarak vahşi doğada istismar edildiğini görüyoruz” diye belirtti.
O da öne çıktı CVE-2024-21390Microsoft Authenticator'da bir ayrıcalık yükselmesi kusuru da ilginç; ancak bundan yararlanmak için bir saldırganın mobil cihazda zaten yerleşik bir varlığa sahip olması gerekir (kötü amaçlı yazılım veya kötü amaçlı bir uygulama yoluyla).
“Bir kurban Microsoft Authenticator uygulamasını kapatıp yeniden açtıysa, saldırgan çok faktörlü kimlik doğrulama kodlarını ele geçirebilir ve uygulamadaki hesapları değiştirebilir veya silebilir” diye açıkladı.
“Bu kusurdan yararlanma ihtimalinin daha düşük olduğu düşünülse de, saldırganların çok faktörlü kimlik doğrulamayı atlamanın yollarını bulmaya istekli olduklarını biliyoruz. Hedef cihaza erişime sahip olmak, tuş vuruşlarını izleyebilmeleri, verileri çalabilmeleri ve kullanıcıları kimlik avı web sitelerine yönlendirebilmeleri nedeniyle yeterince kötüdür; ancak amaç gizli kalmaksa, bu erişimi koruyabilir ve oturum açmak için çok faktörlü kimlik doğrulama kodlarını çalabilirler. Parolaları değiştirerek ve çok faktörlü kimlik doğrulama cihazını değiştirerek hassas hesapları çalabilir, verileri çalabilir veya hesapları tamamen ele geçirebilirsiniz; böylece kullanıcıyı hesaplarından etkin bir şekilde kilitleyebilirsiniz.