Salı günü Microsoft, Windows NT LAN Manager’ı (NTLM) ve Görev Zamanlayıcı’yı etkileyen iki güvenlik açığının aktif olarak istismar edildiğini açıkladı.
Güvenlik açıkları, teknoloji devinin Kasım 2024 Salı Yaması güncellemesi kapsamında ele aldığı 90 güvenlik hatası arasında yer alıyor. 90 kusurdan dördü Kritik, 85’i Önemli ve biri Orta önem derecesine sahip. Yamalı güvenlik açıklarının 52’si uzaktan kod yürütme kusurlarıdır.
Düzeltmeler, Ekim 2024 Salı Yaması güncellemesinin yayınlanmasından bu yana Microsoft’un Chromium tabanlı Edge tarayıcısında çözdüğü 31 güvenlik açığına ek olarak sunuluyor. Aktif olarak yararlanıldığı belirtilen iki güvenlik açığı aşağıdadır:
- CVE-2024-43451 (CVSS puanı: 6,5) – Windows NTLM Hash Açıklama Sahtekarlığı Güvenlik Açığı
- CVE-2024-49039 (CVSS puanı: 8,8) – Windows Görev Zamanlayıcı’da Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2024-43451 için bir danışma belgesinde Microsoft, “Bu güvenlik açığı, kullanıcının NTLMv2 karma değerini, kullanıcı olarak kimlik doğrulaması yapmak için bunu kullanabilecek saldırgana ifşa ediyor” dedi ve ClearSky araştırmacısı Israel Yeshurun’un kusuru keşfedip bildirdiğine itibar etti.
CVE-2024-43451’in, CVE-2024-21410 (Şubat’ta yamalandı) ve CVE-2024-38021’den (Temmuz’da yamalandı) sonra, bir kullanıcının NTLMv2 karmasını ortaya çıkarmak için kullanılabilecek üçüncü kusur olduğunu belirtmekte fayda var. bu yıl vahşi doğada yalnız.
Kıdemli personel araştırma mühendisi Satnam Narang, “Saldırganlar, sistemlerde kimlik doğrulaması yapmak ve potansiyel olarak bir ağ içinde diğer sistemlere erişmek için yanal olarak hareket etmek için kullanılabildiğinden, NTLMv2 karmalarını açığa çıkarabilecek sıfır gün güvenlik açıklarını keşfetme ve bunlardan yararlanma konusunda kararlı olmaya devam ediyor.” Tenable, yaptığı açıklamada şunları söyledi.
Öte yandan CVE-2024-49039, bir saldırganın ayrıcalıklı hesaplarla sınırlı olan RPC işlevlerini yürütmesine olanak tanıyabilir. Ancak Microsoft, başarılı bir şekilde yararlanmanın, kimliği doğrulanmış bir saldırganın ayrıcalıklarını öncelikle Orta Bütünlük Düzeyine yükseltmek için hedef sistemde özel hazırlanmış bir uygulamayı çalıştırmasını gerektirdiğini belirtiyor.
Google’ın Tehdit Analizi Grubu’ndan (TAG) Vlad Stolyarov ve Bahare Sabouri ile anonim bir araştırmacının güvenlik açığını bildirdikleri kabul edildi. Bu durum, kusurun sıfır gün istismarının ulus-devlet bağlantılı bir grupla veya gelişmiş kalıcı tehdit (APT) aktörüyle ilişkili olma olasılığını artırıyor.
Şu anda bu eksikliklerden nasıl yararlanıldığına veya bu saldırıların ne kadar yaygın olduğuna dair bir bilgi yok, ancak bu gelişme ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bunları Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna eklemesine yol açtı.
Kamuya açıklanan ancak henüz istismar edilmeyen sıfır gün kusurlarından biri, Active Directory Sertifika Hizmetlerinde etki alanı yönetici ayrıcalıkları elde etmek için kullanılabilen bir ayrıcalık yükseltme güvenlik açığı olan CVE-2024-49019’dur (CVSS puanı: 7,8). EKUwu olarak adlandırılan güvenlik açığının ayrıntıları geçen ay TrustedSec tarafından belgelendi.
Dikkat edilmesi gereken diğer bir güvenlik açığı, .NET ve Visual Studio’da, kimliği doğrulanmamış uzak bir saldırganın, güvenlik açığı bulunan bir .NET web uygulamasına özel hazırlanmış istekler göndererek veya Özel hazırlanmış bir dosyayı güvenlik açığı bulunan bir masaüstü uygulamasına yükleme.
Güncelleme aynı zamanda Windows Kerberos’u etkileyen, kimliği doğrulanmamış bir saldırganın uzaktan kod yürütme gerçekleştirmek için kötüye kullanabileceği kritik bir şifreleme protokolü kusurunu da giderir (CVE-2024-43639, CVSS puanı: 9,8).
Bu ayki sürümdeki en yüksek puan alan güvenlik açığı, Azure CycleCloud’daki (CVE-2024-43602, CVSS puanı: 9,9) temel kullanıcı izinlerine sahip bir saldırganın kök düzeyinde ayrıcalıklar elde etmesine olanak tanıyan bir uzaktan kod yürütme kusurudur.
Narang, “Kullanım kolaylığı, savunmasız bir AzureCloud CycleCloud kümesine yapılandırmasını değiştirecek bir istek göndermek kadar basitti” dedi. “Kurumlar bulut kaynaklarını kullanmaya başladıkça saldırı yüzeyi de genişliyor.”
Son olarak, Redmond tarafından ele alınan, Microsoft tarafından verilmeyen bir CVE, OpenSSL’deki bir uzaktan kod yürütme hatasıdır (CVE-2024-5535, CVSS puanı: 9,1). İlk olarak Haziran 2024’te OpenSSL bakımcıları tarafından yamalanmıştı.
Microsoft, “Bu güvenlik açığından yararlanılması, bir saldırganın kurbana e-posta yoluyla kötü amaçlı bir bağlantı göndermesini veya genellikle bir e-posta veya Instant Messenger mesajı yoluyla kullanıcıyı bağlantıya tıklamaya ikna etmesini gerektirir” dedi.
“En kötü e-posta saldırısı senaryosunda, bir saldırgan, kurbanın bağlantıyı açmasına, okumasına veya tıklamasına gerek kalmadan kullanıcıya özel hazırlanmış bir e-posta gönderebilir. Bu, saldırganın kurbanın makinesinde uzaktan kod çalıştırmasına neden olabilir. .”
Kasım ayı güvenlik güncelleştirmesiyle aynı zamana denk gelen Microsoft, yanıt ve iyileştirme çabalarını hızlandırmak amacıyla tüm CVE’ler için güvenlik açıklarını makine tarafından okunabilir biçimde açıklamaya yönelik bir OASIS standardı olan Ortak Güvenlik Danışma Çerçevesi’ni (CSAF) benimsediğini de duyurdu.
Şirket, “CSAF dosyalarının insanlardan çok bilgisayarlar tarafından tüketilmesi amaçlanıyor, bu nedenle CSAF dosyalarını mevcut CVE veri kanallarımıza bir yedek olarak değil, ek olarak ekliyoruz” dedi. “Bu, tedarik zincirimiz etrafında şeffaflığı artırmaya devam etmek için bir yolculuğun başlangıcıdır ve ürünlerimizde yerleşik Açık Kaynak Yazılım da dahil olmak üzere tüm tedarik zincirimizde ele aldığımız ve çözdüğümüz güvenlik açıkları.”
Diğer Satıcıların Yazılım Yamaları
Microsoft dışında, son birkaç hafta içinde diğer satıcılar tarafından da aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını gidermek için güvenlik güncellemeleri yayımlandı: