Microsoft, Windows Hyper-V'deki bir çift kritik güvenlik açığını düzeltti; bunlardan biri kötüye kullanılması durumunda uzaktan kod yürütülmesine (RCE) neden oluyor ve Salı günü oldukça hafif bir yamayla düzeltildi. Düzeltmeler, neredeyse 60 kadar yaygın güvenlik açığı ve maruziyetten (CVE) oluşan ince bir güncellemenin ortasında geldi ve bunların hiçbiri sıfır gün olarak derecelendirilmedi.
Güncellemelerin azlığı güvenlik ekiplerini rahatlatacak olsa da, bu kadar küçük bir düşüşün zamanlaması bazılarını şaşırttı; Trend Micro'nun Zero Day Initiative'inden (ZDI) Dustin Childs'ın gözlemlediği gibi, yıllık Pwn2Own hackleme yarışmasına bir haftadan biraz daha uzun bir süre kaldı Redmond'un normalden daha fazla yama bastırması beklenebilirdi.
Yama yönetimi uzmanı Action1'in başkanı ve kurucu ortağı Mike Walters, “Bu ayın Salı Yaması, Microsoft'un sabit güvenlik açıklarında toplam 60'lık bir azalma olduğunu gösteriyor; bu, geçen ayki 74 güncellemeye kıyasla bir düşüş.” dedi.
“Dikkate değer bir şekilde, şubat ayına göre daha az sayıda olmak üzere yalnızca iki kritik güvenlik açığının ele alındığını görüyoruz ve bu da olumlu bir eğilimin altını çiziyor. Bu ay özellikle herhangi bir sıfır gün güvenlik açığı veya kavram kanıtının (PoC) yokluğu, göreceli bir sakinlik anının altını çiziyor.”
CVE-2024-21407 olarak takip edilen RCE güvenlik açığının CVSS taban puanı 8,1'dir. Bu durumdan yararlanmak için, konuk sanal makinedeki (VM) kimliği doğrulanmış bir saldırganın, VM'deki özel hazırlanmış dosya işlem isteklerini VM'deki donanım kaynaklarına göndermesi gerekir; Microsoft, bunun ana bilgisayarda RCE'ye yol açabileceğini söyledi.
Bununla birlikte, başarılı bir şekilde yararlanma, saldırganın hedef ortam hakkında belirli bilgilerin parmaklarının ucunda olmasını da gerektirecektir ve Microsoft'a göre, hedefi yumuşatmak için gerçekleştirmeleri gereken bir dizi ek eylem vardır, dolayısıyla saldırının karmaşıklığı oldukça yüksek.
“Bu duyuru itibarıyla, bu güvenlik açığına ilişkin herhangi bir kamu açıklaması veya bilinen bir istismar söz konusu değil. Ancak kritik ciddiyeti ve olası sonuçları göz önüne alındığında, Windows Hyper-V kullanıcılarının maruz kalma riskini azaltmak için sağlanan güncellemeleri derhal uygulaması hayati önem taşıyor” dedi Walters.
“Bu güvenlik açığı, Windows 10 ve daha yenisini çalıştıran sistemlerin yanı sıra Hyper-V rolüyle donatılmış Windows Server 2012 ve daha yenisini çalıştıran sistemler için de geçerlidir. Kullanıcılardan bu soruna karşı korunmak için Microsoft'un resmi yamasını uygulamaları isteniyor. Ek olarak, kullanıcı ayrıcalıklarının en aza indirilmesi, ağ erişiminin daraltılması ve olağandışı etkinliklerin dikkatle izlenmesi gibi VM ve ana sunucu güvenliği için en iyi uygulamalara bağlı kalınması şiddetle tavsiye edilir” diye ekledi.
Windows Hyper-V'deki ikinci kritik kusur CVE-2024-21408 olarak izleniyor ve 5,5 CVSS temel puanı taşıyor. İşaretlenmeden bırakılırsa, hizmet reddi (DoS) saldırısına olanak tanır, ancak Microsoft'un güncellemesi bundan nasıl yararlanılabileceğine ilişkin hiçbir ayrıntı sağlamaz.
Bu ayki diğer dikkat çekici sorunlardan bazıları, Microsoft Exchange Server'da CVE-2024-26198 olarak izlenen başka bir RCE kusurunu içeriyor; bu kusur, kullanıcının özel hazırlanmış bir dosyayı açması için kandırılmasını gerektirdiğinden kritik olarak derecelendirilme konusunda yetersiz kalıyor. Savunmacılar, yama uygulamaya ek olarak e-posta sunucusunun güvenlik ayarlarını da gözden geçirmek isteyebilir ve kullanıcılara, istenmeyen veya doğrulanmamış dosyalar almaları durumunda dikkatli olmaları gerektiğini hatırlatabilir.
Benzer nedenlerden dolayı güvenlik ekipleri, CVE-2024-21426 olarak takip edilen ve başarılı bir şekilde kullanılması yine kullanıcının kötü amaçlı bir dosyayı açmasını gerektiren bir SharePoint Sunucusu RCE güvenlik açığına öncelik vermek isteyebilir.
Bu ayki bir diğer yüksek riskli güvenlik açığı ise Tüketici için Skype'taki CVE-2024-21411'dir. CVSS taban puanı 8,8 olan bir RCE kusuru olan bu sorun, bir saldırganın anlık mesaj yoluyla kötü amaçlı bir bağlantı veya resim göndermesi durumunda istismar edilebilir ve bunun yaygın olarak kullanılan bir tüketici ürününde bulunabileceği gerçeği endişe verici olsa da bilinen hiçbir kamu açıklaması veya aktif istismar yoktur.
OIT ile çıkış
Salı günü yapılan ana Yama yüklemesiyle aynı zamanda Redmond, Exchange Server'da Oracle'ın Dışarıdan Gelen Teknoloji (OIT) kitaplıklarına yönelik desteğin kullanımdan kaldırıldığını da duyurdu. Bir güvenlik tavsiye belgesinde ayrıntılı olarak açıklanan bu hamle, OIT'in varsayılan olarak kullanılacak “gelişmiş, modern, şirket içi dosya tarama çözümü” ile değiştirileceğinin müjdesini veriyor; ancak müşteriler bazı dosyalar için OIT'yi yeniden etkinleştirebilecek. kesinlikle gerekiyorsa türler.
“Kullanımdan kaldırma, Mart 2024 güncellemesiyle başlayan üç aşamalı bir süreçtir. İlk aşama, Oracle'ın Dışarıdan Gelen Teknolojisini (OIT) tüm dosya türleri için devre dışı bırakır. İkinci aşamada yedek bir tarama çözümü tanıtılacak. Üçüncü aşamada OIT kodunu Exchange Server'dan tamamen kaldıracağız. Ivanti güvenlik ürünleri ürün yönetiminden sorumlu başkan yardımcısı Chris Goettl, “İkinci ve üçüncü aşama zaman çerçeveleri, ilk yayınlanma tarihi olan 12 Mart 2024 itibarıyla danışma belgesinde açıklanmadı” dedi.
Güvenli Önyükleme için hazırlanın
Gelecek ayın Salı Yamasını ele alan Goettl ayrıca, Windows Güvenli Önyükleme güvenlik özelliğinde bulunan ve ilk kez Mayıs 2023'te sıfır gün olarak izlenen tehlikeli bir güvenlik açığı olan CVE-2023-24932 ile ilişkili değişiklikler için planlanan üçüncü dağıtım aşamasını da vurguladı.
Goettl, “CVE, BlackLotus UEFI önyükleme kiti tarafından kullanılan Güvenli Önyüklemede bir güvenlik özelliğinin atlanmasını ele aldı” dedi. “Değişiklikler dört aşamalı bir süreçte uygulamaya konuldu ve üçüncü aşama 9 Nisan 2024 Yaması Salı günü veya sonrasında uygulanacaktı.
“Önümüzdeki ay, savunmasız ek önyükleme yöneticilerini engellemek için yeni önlemlerin uygulanmasını bekliyoruz. Bu, medyayı güncellemeye hazırlamak için yapmanız gereken bazı işler olduğu anlamına gelebilir. Daha fazla ayrıntı için KB5025885'e bakın.”
Çok aşamalı bir yaklaşım gerekliydi çünkü Güvenli Önyükleme, sistem işletim sistemi başlatıldığında yüklenebilecek önyükleme ortamını çok hassas bir şekilde kontrol ediyor; bu nedenle, yanlış uygulanırsa güncelleme büyük sorunlara neden olabilir ve hatta sistemlerin başlatılmasını engelleyebilir.