Microsoft, 2024 Salı günü sondan bir önceki Yamayı işaretlemek için, dört kritik sorun ve sıfır gün olarak kabul edilebilecek bir dizi kusur dahil olmak üzere toplam 89 yeni Ortak Güvenlik Açıkları ve Etkilenmeleri (CVE) (92’si üçüncü taraf açıklamaları dahil) ele alan düzeltmeler yayınladı. .
Bu sorunlardan biri, hem herkese açık hem de istismar edildiği bilinen bir güvenlik açığı olan tam sıfır günün tam geleneksel tanımına uygundur. Bu, Yeni Teknoloji LAN Yöneticisi (NTLM) Karmasındaki bir kimlik sahtekarlığı güvenlik açığı olan CVE-2024-43451’dir.
NTLM, kullanıcıların kimliklerini doğrulamak için kullanılan bir dizi güvenlik protokolüdür. Geçmişi yıllar öncesine dayanır ve büyük ölçüde yerini çok daha güvenli protokollere bırakmıştır; Microsoft on yılı aşkın bir süredir bu protokolün kullanılmasını tavsiye etmemektedir, ancak Internet Explorer’da kullanıldığından beri bir dereceye kadar desteklenmeye devam etmektedir ve sorun yaratmaya devam etmektedir; bu aşamada inanılmaz derecede güvensizdir.
Bu durumda, Microsoft’a göre, bu sorunun başarılı bir şekilde kullanılması “tamamen gizlilik kaybına” yol açabilir; çünkü kurban kandırılabilirse, kullanıcının NTLMv2 karmasını daha sonra kullanıcı olarak kimlik doğrulaması yapmak için kullanabilecek bir saldırgana açıklanır. Kötü amaçlı bir dosyayla minimum düzeyde etkileşime girmenizi sağlar; bu, yalnızca dosyayı seçmeyi veya tıklamayı, hatta açmayı bile içeremez. Bu, onu nispeten düşük ciddiyet puanının gösterdiğinden çok daha tehlikeli hale getirebilir.
Action1’in başkanı ve kurucu ortağı Mike Walters şöyle açıkladı: “Bu sorun, NTLM kimlik doğrulama bilgilerinin, özellikle de NTLMv2 karmalarının, kötü amaçla hazırlanmış bir dosya yoluyla uygunsuz bir şekilde ifşa edildiği mekanizmadan kaynaklanıyor.
Computer Weekly’ye e-postayla gönderilen yorumunda şöyle konuştu: “Bu güvenlik açığının temel nedeni, sistemler içindeki dosya etkileşimlerinin hatalı şekilde yönetilmesi ve potansiyel olarak saldırganların tam dosya yürütme gerektirmeden NTLMv2 karmalarını çıkarmasına olanak sağlamasıdır.”
Walters, Microsoft Windows’un tüm desteklenen sürümlerinin bu soruna karşı savunmasız olduğunu, özellikle de MSHTML ve EdgeHTML platformlarına dayalı uygulamalar kullanıyorlarsa, diğer komut dosyası motorlarının katılımı sayesinde farklı sistem ortamlarında riskin daha da arttığını söyledi.
Walters, CVE-2024-43451 ile ilgili temel endişenin, kullanıcı olarak kimlik doğrulamak için kullanılabilecek ve karma geçiş saldırılarında yararlanılabilecek, kurnaz bir tehdit aktörü için daha fazla yanal harekete olanak tanıyan NTLMv2 karmalarının ifşa edilmesi olduğunu söyledi.
“Bu güvenlik açığı özellikle kullanıcıların kötü amaçlı dosyalarla etkileşime girecek şekilde kandırılabileceği kimlik avı senaryolarında etkilidir. NTLM karmaları elde edildikten sonra saldırganlar, erişimlerini genişletmek ve ek sistemleri tehlikeye atmak için bunları diğer ağ güvenlik açıklarıyla birleştirebilir” dedi.
“Önemli ağ dosya paylaşımının olduğu veya Internet Explorer ve ilgili platformlara bağımlı eski uygulamaların olduğu ortamlarda Windows’u yoğun şekilde kullanan kuruluşlar, yüksek riskle karşı karşıyadır. Olağandışı dosya etkileşimlerini tespit edecek sağlam kullanıcı eğitimi ve izleme sistemlerine sahip olmayanlar, istismara daha açık hale gelebilir.”
Listede ayrıca istismar edilen ancak henüz kamuya açıklanmayan CVE-2024-49309 da yer alıyor. Bu, Windows Görev Zamanlayıcı’daki bir ayrıcalık yükselmesi (EoP) güvenlik açığıdır.
Bu, kimlik doğrulama belirteçlerinin veya kimlik bilgilerinin uygun şekilde yönetilmediği ve düşük ayrıcalıklı bir saldırganın, bu amaç için tasarlanmış kötü amaçlı bir uygulamayı çalıştırabilmesi durumunda daha derin erişim elde etmesine olanak tanıyabileceği bir sorundan kaynaklanmaktadır. Bu durum, rutin görev otomasyon süreçlerinin bir parçası olarak Görev Zamanlayıcı’yı içeren Windows’un birden çok sürümünü etkiliyor ve paylaşılan veya çok kullanıcılı kurulumlara sahip ortamların buna karşı özellikle savunmasız olabileceği düşünülüyor.
“Bu güvenlik açığı, zaten düşük ayrıcalıklı bir sisteme erişmiş olan saldırganlar için potansiyel bir giriş noktası görevi görüyor. Ayrıcalıklar artırıldığında, bu saldırganlar bu dayanağı ağ içinde daha fazla yanal hareket için kullanabilir veya daha yüksek erişim seviyeleri gerektiren diğer güvenlik açıklarından yararlanabilirler” dedi Walters.
“Bu güvenlik açığının doğası, özellikle bireysel kullanıcıların, yetkisiz erişim elde etmek için kullanılabilecek belirli görev otomasyon ayrıcalıklarına sahip olduğu kurumsal ortamlarda endişe vericidir.”
Henüz istismar edilmedi
Microsoft’a göre dört güvenlik açığı daha kamuya duyuruldu ancak henüz herhangi bir istismar görülmedi ve bunlardan biri olan OpenSSL’deki uzaktan kod yürütme sorunu olan CVE-2024-5535, bu belgeye dahil edilen üç üçüncü taraf açıklaması arasında yer alıyor. ayın düşüşü.
Diğer üçü ise .NET ve Visual Studio’da bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2024-43498, Active Directory Sertifika Hizmetleri’nde bir EoP güvenlik açığı olan CVE-2024-49019 ve bir kimlik sahtekarlığı güvenlik açığı olan CVE-2024-49040’tır. Microsoft Exchange Server’da.
Ivanti’nin güvenlik ürünlerinden sorumlu başkan yardımcısı Chris Goettl, hem Active Directory hem de Microsoft Exchange Server sorunları hakkında daha fazla düşüncelerini paylaştı ve savunucuları bu sorunlara resmi kılavuzun ima edebileceğinden daha yüksek öncelikler olarak ele almaya çağırdı.
“[CVE-2024-49019] … Önemli olarak derecelendirilmiştir ve CVSS v3.1 puanı 7,8…’dir. Saldırganın kötüye kullanılması durumunda etki alanı yöneticisi ayrıcalıkları elde edilebilir. Güvenlik açığı, aşırı geniş kayıt veya otomatik kayıt izinlerinin kaldırılması, kullanılmayan şablonların sertifika yetkililerinden kaldırılması ve istekte konuyu belirtmenize olanak tanıyan şablonların güvenliğinin sağlanması dahil olmak üzere ek azaltımlar sağlıyor” dedi Goettl.
“Güvenlik açığı Windows Server 2008 ve sonraki Server İşletim Sistemi sürümlerini etkiliyor. Risk temelli bir perspektiften bakıldığında, kamuya açıklanması, bu güvenlik açığının istismar edilmesi riskini daha yüksek hale getirir ve güvenlik açığının daha yüksek önem derecesine sahip olarak ele alınmasını garanti edebilir.”
Goettl şöyle devam etti: “[CVE-2024-49040] Önemli olarak derecelendirilmiştir ve CVSS v3.1 puanı 7,5’tir. Güvenlik açığı P2 From başlık doğrulamasında mevcuttur. Microsoft Exchange Server genellikle Exchange açıklarından yararlanma konusunda uzmanlaşmış tehdit aktörleri tarafından hedef alınır. Risk bazlı bir önceliklendirme perspektifinden bakıldığında, kamuya açıklanması ve PoC seviyesinde yararlanma kodunun mevcut olması, bu güvenlik açığının Kritik olarak ele alınmasını garanti eder.”
Son olarak, diğer üç Kritik sorun şu şekilde listelenmiştir: Microsoft Windows VMSwitch’teki bir EoP güvenlik açığı olan CVE-2024-43625; CVE-2024-43639, Windows Kerberos’ta bir RCE güvenlik açığı; ve Airlift.microsoft.com’daki bir EoP güvenlik açığı olan CVE-2024-49056. Bu örneklerin her birinde, henüz kamuya açıklanmış bir kavram kanıtı yoktur ve vahşi doğada herhangi bir sömürü gözlemlenmemiştir.