Mayıs 2024 Salı Yaması için Microsoft, saldırganlar tarafından aktif olarak kullanılan iki sıfır gün (CVE-2024-30051, CVE-2024-30040) dahil olmak üzere 59 CVE numaralı güvenlik açığına yönelik düzeltmeler yayımladı.
CVE-2024-30051 ve CVE-2024-30040
CVE-2024-30051 Windows DWM Çekirdek Kitaplığını etkileyen ve saldırganların hedef sistemdeki ayrıcalıklarını yükseltmek için kullanılabilen yığın tabanlı bir arabellek taşması güvenlik açığıdır. Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SİSTEM ayrıcalıkları kazanabilir” diyor.
Kaspersky, DBAPPPSecurity WeBin Lab, Google Threat Analysis Group ve Google Mandiant’tan araştırmacıların bu durumu rapor ettiği düşünülüyor ve bundan yararlanan saldırıların yaygın olduğu tahmin ediliyor.
Kaspersky araştırmacıları Boris Larin ve Mert Değirmenci daha fazla ayrıntı paylaştı: CVE-2024-30051, Qakbot ve diğer kötü amaçlı yazılımlarla birlikte kullanılıyor. “[We] birden fazla tehdit aktörünün buna erişimi olduğuna inanıyorum” dediler ve kullanıcılar Windows sistemlerini güncellemeye zaman bulduklarında teknik ayrıntıları yayınlayacaklarına söz verdiler.
Buradaki ilginç şey, güvenlik açığını nasıl “keşfettikleri”: VirusTotal’a yüklenen bir dosyada açıklanmıştı.
“Bu belgede açıklanan yararlanma süreci, daha önce bahsedilen CVE-2023-36033 için sıfır gün istismarında kullanılanla aynıydı ancak güvenlik açığı farklıydı” dediler.
CVE-2024-30040 saldırganların OLE’yi atlamasına olanak tanıyan bir güvenlik açığıdır [Object Linking and Embedding] Microsoft 365 ve Microsoft Office’teki azaltımlar (yani, kullanıcıları kötü amaçlı dosyalardan koruyan güvenlik özellikleri).
Saldırganların bundan yararlanabilmesi için “kullanıcıyı, genellikle bir e-posta veya anlık mesajlaşma mesajı yoluyla, savunmasız bir sisteme kötü amaçlı bir dosya yüklemeye ikna etmesi ve ardından kullanıcıyı özel hazırlanmış dosyayı değiştirmeye ikna etmesi gerekir, ancak bu zorunlu değildir” Microsoft, kötü amaçlı dosyayı tıklayın veya açın.
“Bu güvenlik açığından başarıyla yararlanan, kimliği doğrulanmamış bir saldırgan, kullanıcıyı kötü amaçlı bir belge açmaya ikna ederek kod yürütme elde edebilir ve bu noktada saldırgan, kullanıcının bağlamında rasgele kod çalıştırabilir.”
Microsoft, güvenlik açığını kimin bildirdiğini söylemiyor veya bu güvenlik açığından yararlanılan saldırıların niteliğini açıklamıyor.
Dikkat edilmesi gereken diğer güvenlik açıkları
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, CVE-2024-30044Bu ay giderilen tek kritik güvenlik açığı, bir saldırganın önce Site Sahibi izinlerine (veya daha yüksek) sahip güvenlik açığına sahip bir SharePoint Sunucusunda kimliğinin doğrulanmasını ve ardından ek adımlar atmasını gerektiriyor; bu da çoğu saldırganın takip ettiği gibi bu kusurun geniş çapta istismar edilmesi olasılığını azaltıyor en az direnişin yolu.”
Kaşif – Piotr Bazydło – diyor bu, şimdiye kadar bulduğu en ilginç XML harici varlık (XXE) ekleme hatasıdır.
“Kimliği doğrulanmış bir saldırgan, bu hatayı, SharePoint Farm hizmet hesabı kullanıcı ayrıcalıklarına sahip yerel dosyaları okumak için kullanabilir. Trend Micro’nun Sıfır Gün Girişimi tehdit farkındalığı başkanı Dustin Childs, “Ayrıca HTTP tabanlı sunucu tarafı istek sahteciliği (SSRF) gerçekleştirebilir ve en önemlisi, SharePoint Farm hizmet hesabı olarak NLTM aktarımı gerçekleştirebilirler” yorumunu yaptı.
O da öne çıktı CVE-2024-30050Saldırganların Windows Web İşareti (MotW) kontrolleri tarafından sağlanan korumaları atlamalarına izin verebilecek orta derecede ciddi bir güvenlik açığı, çünkü bu tür güvenlik özelliklerini atlama şu anda fidye yazılımı çeteleri arasında oldukça popüler.
“Ağ ve ana bilgisayar tabanlı savunmaları atlamak için yüklerini sıkıştırıyorlar, Microsoft Office’teki SmartScreen veya Korumalı Görünüm’den kaçınmak için Web İşareti (MotW) atlamasını kullanıyorlar” diye açıkladı.
“Bu hatanın aktif olarak kullanıldığına dair hiçbir belirtimiz olmasa da, tekniğin onu ortaya çıkaracak kadar sık kullanıldığını görüyoruz. Bunun gibi hatalar, Orta dereceli hataların neden göz ardı edilmemesi veya önceliklendirilmemesi gerektiğini gösteriyor.”