Microsoft, Şubat 2024 için Salı Yaması güncellemelerinin bir parçası olarak, aktif olarak istismar edilen iki sıfır gün de dahil olmak üzere, yazılım serisini kapsayan 73 güvenlik açığını gidermek için yamalar yayınladı.
73 güvenlik açığından 5’i Kritik, 65’i Önemli ve üçü Orta şiddette olarak derecelendirildi. Bu, 24 Ocak Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında düzeltilen 24 kusura ektir.
Yayınlandığı sırada aktif saldırı altında olarak listelenen iki kusur aşağıdadır:
- CVE-2024-21351 (CVSS puanı: 7,6) – Windows SmartScreen Güvenlik Özelliği Güvenlik Açıklarını Atlıyor
- CVE-2024-21412 (CVSS puanı: 8.1) – İnternet Kısayol Dosyaları Güvenlik Özelliği Güvenlik Açığı Atlama
Microsoft, CVE-2024-21351 hakkında şunları söyledi: “Güvenlik açığı, kötü niyetli bir aktörün SmartScreen’e kod enjekte etmesine ve potansiyel olarak kod yürütme elde etmesine olanak tanıyor; bu da potansiyel olarak bazı verilerin açığa çıkmasına, sistem kullanılabilirliğinin olmamasına veya her ikisine birden yol açabilir.”
Kusurun başarılı bir şekilde kullanılması, bir saldırganın SmartScreen korumalarını atlatmasına ve rastgele kod çalıştırmasına olanak tanıyabilir. Ancak saldırının işe yaraması için tehdit aktörünün kullanıcıya kötü amaçlı bir dosya göndermesi ve kullanıcıyı bu dosyayı açmaya ikna etmesi gerekiyor.
CVE-2024-21412, benzer şekilde, kimliği doğrulanmamış bir saldırganın, hedeflenen kullanıcıya özel hazırlanmış bir dosya göndererek görüntülenen güvenlik kontrollerini atlamasına izin verir.
“Ancak saldırganın, kullanıcıyı saldırgan tarafından kontrol edilen içeriği görüntülemeye zorlama yolu yoktur.” Redmond dikkat çekti. “Bunun yerine saldırganın, dosya bağlantısına tıklayarak onları harekete geçmeye ikna etmesi gerekir.”
CVE-2024-21351, Kasım 2023’te teknoloji devi tarafından kapatılan CVE-2023-36025’ten (CVSS puanı: 8,8) sonra SmartScreen’de keşfedilen ikinci bypass hatasıdır. Bu kusur, o zamandan bu yana birden fazla bilgisayar korsanlığı grubu tarafından istismar edilmeye başlandı. DarkGate, Phemedrone Stealer ve Mispadu’yu çoğaltın.
Water Hydra (namı diğer DarkCasino) tarafından CVE-2024-21412’den yararlanan gelişmiş bir sıfır gün saldırı zinciri aracılığıyla finansal piyasa yatırımcılarını hedef alan bir saldırı kampanyasını ayrıntılarıyla anlatan Trend Micro, CVE-2024-21412’yi CVE-2023 için bir bypass olarak tanımladı -36025, böylece tehdit aktörlerinin SmartScreen kontrollerinden kaçmasına olanak tanır.
İlk olarak 2021’de tespit edilen Water Hydra’nın, 2021’de gün yüzüne çıkan WinRAR kusuru da dahil olmak üzere sıfır gün açıklarını kullanarak DarkMe adlı bir truva atı yaymak için bankalara, kripto para platformlarına, ticaret hizmetlerine, kumar sitelerine ve kumarhanelere karşı saldırılar başlatma konusunda bir geçmişi var. Ağustos 2023 (CVE-2023-38831, CVSS puanı: 7,8).
Geçen yılın sonlarında, Çinli siber güvenlik şirketi NSFOCUS, “ekonomik amaçlı” bilgisayar korsanlığı grubunu tamamen yeni bir gelişmiş kalıcı tehdide (APT) dönüştürdü.
Trend Micro, “Ocak 2024’te Water Hydra, kötü amaçlı bir Microsoft Yükleyici Dosyası (.MSI) yürütmek için CVE-2024-21412’yi kullanarak enfeksiyon zincirini güncelledi ve DarkMe enfeksiyon sürecini kolaylaştırdı” dedi.
Her iki güvenlik açığı da o zamandan beri ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi ve federal kurumlara en son güncellemeleri 5 Mart 2024’e kadar uygulamaları çağrısında bulunuldu.
Ayrıca Microsoft tarafından yamalanan beş kritik kusur da var:
- CVE-2024-20684 (CVSS puanı: 6,5) – Windows Hyper-V Hizmet Reddi Güvenlik Açığı
- CVE-2024-21357 (CVSS puanı: 7,5) – Windows Pragmatik Genel Çok Noktaya Yayın (PGM) Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2024-21380 (CVSS puanı: 8,0) – Microsoft Dynamics Business Central/NAV Bilginin İfşa Edilmesi Güvenlik Açığı
- CVE-2024-21410 (CVSS puanı: 9,8) – Microsoft Exchange Server’da Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2024-21413 (CVSS puanı: 9,8) – Microsoft Outlook’ta Uzaktan Kod Yürütme Güvenlik Açığı
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang yaptığı açıklamada, “CVE-2024-21410, Microsoft Exchange Server’da bir ayrıcalık yükselmesi güvenlik açığıdır” dedi. “Microsoft’a göre bu kusurun saldırganlar tarafından istismar edilme olasılığı daha yüksek.”
“Bu güvenlik açığından yararlanılması, hedeflenen kullanıcının Net-Yeni Teknoloji LAN Yöneticisi (NTLM) sürüm 2 karma değerinin açığa çıkmasına neden olabilir; bu, bir NTLM geçişinde veya karma geçiş saldırısında güvenlik açığı bulunan bir Exchange Sunucusuna geri aktarılabilir. saldırganın hedeflenen kullanıcı olarak kimliğini doğrulamasına izin verin.”
Güvenlik güncelleştirmesi ayrıca, SQL Server için Microsoft WDAC OLE DB sağlayıcısında, bir saldırganın kimliği doğrulanmış bir kullanıcıyı OLEDB aracılığıyla kötü amaçlı bir SQL sunucusuna bağlanma girişiminde bulunmak üzere kandırarak yararlanabileceği 15 uzaktan kod yürütme kusurunu da giderir.
Yamanın tamamlanması, DNSSEC spesifikasyonunda CPU kaynaklarını tüketmek ve DNS çözümleyicilerini durdurmak için kötüye kullanılabilen ve reddedilmeye neden olabilen 24 yıllık bir tasarım hatası olan CVE-2023-50387 (CVSS puanı: 7,5) için bir düzeltmedir. hizmet dışı (DoS).
Güvenlik açığı, Darmstadt’taki Ulusal Uygulamalı Siber Güvenlik Araştırma Merkezi (ATHENE) tarafından KeyTrap olarak kodlandı.
Araştırmacılar, “Sadece tek bir DNS paketiyle yapılan saldırının CPU’yu tüketebileceğini ve yaygın olarak kullanılan tüm DNS uygulamalarını ve Google Public DNS ve Cloudflare gibi genel DNS sağlayıcılarını durdurabileceğini gösterdiler” dedi. “Aslında popüler BIND 9 DNS uygulaması 16 saate kadar durdurulabilir.”
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, ay başından bu yana diğer satıcılar tarafından da çeşitli güvenlik açıklarını gidermek için güvenlik güncellemeleri yayımlandı: