Microsoft, 2024 için Salı Yaması güncellemelerini, yazılım portföyünü kapsayan, vahşi ortamda istismar edildiğini söylediği bir tanesi de dahil olmak üzere toplam 72 güvenlik açığına yönelik düzeltmelerle kapattı.
72 kusurdan 17’si Kritik, 54’ü Önemli ve biri Orta önemde olarak derecelendirildi. Güvenlik açıklarından 31’i uzaktan kod yürütme kusurlarından oluşuyor ve 27’si ayrıcalıkların yükseltilmesine izin veriyor.
Bu, şirketin geçen ayki güvenlik güncellemesinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında giderdiği 13 güvenlik açığına ek olarak geliyor. Fortra’ya göre Microsoft, yalnızca 2024 yılında toplamda 1088 kadar güvenlik açığını çözdü.
Microsoft’un aktif olarak yararlanıldığını kabul ettiği güvenlik açığı, Windows Ortak Günlük Dosya Sistemi (CLFS) Sürücüsündeki bir ayrıcalık yükseltme kusuru olan CVE-2024-49138’dir (CVSS puanı: 7,8).
Şirket, bir danışma belgesinde “Bu güvenlik açığından başarıyla yararlanan bir saldırgan SİSTEM ayrıcalıkları kazanabilir” dedi ve kusuru keşfedip bildirdiği için siber güvenlik şirketi CrowdStrike’a teşekkür etti.
CVE-2024-49138’in, CVE-2022-24521, CVE-2022-37969, CVE-2023-23376 ve CVE-2023-28252’den (CVSS puanları: 7,8) sonra 2022’den bu yana aktif olarak yararlanılan beşinci CLFS ayrıcalık yükseltme hatası olduğunu belirtmekte fayda var. ). Bu aynı zamanda aynı bileşende bu yıl yamalanacak dokuzuncu güvenlik açığıdır.
“Her ne kadar yaygın kullanım ayrıntıları henüz bilinmese de, CLFS sürücüsündeki güvenlik açıklarının geçmişine bakıldığında, fidye yazılımı operatörlerinin son birkaç yılda CLFS ayrıcalık yükseltme kusurlarından yararlanmaya yönelik bir eğilim geliştirdiklerini görmek ilginçtir. ” Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, The Hacker News’e söyledi.
“Genellikle hassasiyet ve sabıra odaklanan gelişmiş kalıcı tehdit gruplarının aksine, fidye yazılımı operatörleri ve bağlı kuruluşları, her ne şekilde olursa olsun parçala ve ele geçir taktiklerine odaklanıyor. Fidye yazılımı bağlı kuruluşları, CLFS’de buna benzer ayrıcalık yükseltme kusurlarını kullanarak, belirli bir süreçten geçebilir. Verileri çalmak ve şifrelemek ve kurbanlarından şantaj yapmaya başlamak için ağ.”
CLFS’nin kötü niyetli aktörler için cazip bir saldırı yolu haline geldiği gerçeği, Microsoft’un da gözünden kaçmadı ve bu tür günlük dosyalarını ayrıştırırken yeni bir doğrulama adımı eklemek için çalıştığını söyledi.
Microsoft, Ağustos 2024’ün sonlarında şunları kaydetti: “Günlük dosyası veri yapılarındaki bireysel değerleri doğrulamaya çalışmak yerine, bu güvenlik azaltma özelliği, CLFS’ye, günlük dosyalarının CLFS sürücüsünün kendisi dışındaki herhangi bir şey tarafından değiştirildiğini tespit etme yeteneği sağlıyor.” günlük dosyasının sonuna Karma Tabanlı Mesaj Kimlik Doğrulama Kodlarını (HMAC) ekleyerek.”
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu kusuru Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve Federal Sivil Yürütme Organı (FCEB) kurumlarının 31 Aralık 2024’e kadar gerekli düzeltmeleri uygulamasını zorunlu kıldı.
Bu ayki sürümdeki en yüksek önem derecesine sahip hata, Windows Basit Dizin Erişim Protokolünü (LDAP) etkileyen bir uzaktan kod yürütme kusurudur. CVE-2024-49112 (CVSS puanı: 9,8) olarak izlenmektedir.
Microsoft, “Bu güvenlik açığından başarıyla yararlanan, kimliği doğrulanmamış bir saldırgan, LDAP hizmeti bağlamında isteğe bağlı kod yürütmek üzere özel hazırlanmış bir LDAP çağrıları kümesi aracılığıyla kod yürütme elde edebilir” dedi.
Ayrıca Windows Hyper-V’yi (CVE-2024-49117, CVSS puanı: 8,8), Uzak Masaüstü İstemcisini (CVE-2024-49105, CVSS puanı: 8,4) ve Microsoft Muzic’i (CVE-2024-49117, CVSS puanı: 8,4) etkileyen diğer iki uzaktan kod yürütme hatası da dikkate değerdir. 2024-49063, CVSS puanı: 8,4).
Bu gelişme, 0patch’in, saldırganların NT LAN Manager (NTLM) kimlik bilgilerini ele geçirmesine olanak tanıyan Windows sıfır gün güvenlik açığına yönelik resmi olmayan düzeltmeler yayınlamasıyla birlikte geliyor. Kusurla ilgili ek ayrıntılar, resmi bir yama çıkana kadar saklandı.
“Güvenlik açığı, bir saldırganın, kullanıcının kötü amaçlı bir dosyayı Windows Gezgini’nde görüntülemesini sağlayarak (örneğin, bu tür bir dosyayla paylaşılan bir klasörü veya USB diski açarak veya bu tür bir dosyanın daha önce otomatik olarak indirildiği İndirilenler klasörünü görüntüleyerek) kullanıcının NTLM kimlik bilgilerini elde etmesine olanak tanır. Saldırganın web sayfasından” dedi Mitja Kolsek.
Ekim ayı sonlarında, saldırganların bir hedefin NTLM kimlik bilgilerini uzaktan çalmasına olanak tanıyan Windows Temalarındaki sıfır gün güvenlik açığını gidermek için ücretsiz resmi olmayan yamalar da kullanıma sunuldu.
0patch ayrıca Windows Server 2012 ve Server 2012 R2’de önceden bilinmeyen başka bir güvenlik açığına yönelik mikro yamalar yayınlayarak saldırganın belirli dosya türlerindeki Web İşareti (MotW) korumalarını atlamasına olanak tanıyor. Sorunun iki yıldan fazla bir süre önce ortaya çıktığına inanılıyor.
NTLM’nin geçiş ve karma saldırıları yoluyla kapsamlı bir şekilde istismar edilmesiyle Microsoft, eski kimlik doğrulama protokolünü Kerberos lehine kullanımdan kaldırma planlarını duyurdu. Ayrıca, Exchange 2019’un yeni ve mevcut kurulumları için Kimlik Doğrulaması için Genişletilmiş Koruma’yı (EPA) varsayılan olarak etkinleştirme adımını attı.
Microsoft, Windows Server 2025’in piyasaya sürülmesiyle birlikte EPA’yı varsayılan olarak etkinleştirerek Azure Dizin Sertifika Hizmetleri’nde (AD CS) benzer bir güvenlik iyileştirmesi gerçekleştirdiğini, bunun da NTLM v1 desteğini kaldırdığını ve NTLM v2’yi kullanımdan kaldırdığını söyledi. Bu değişiklikler Windows 11 24H2 için de geçerlidir.
Redmond’un güvenlik ekibi bu haftanın başlarında yaptığı açıklamada, “Ayrıca, aynı Windows Server 2025 sürümünün bir parçası olarak, LDAP artık varsayılan olarak kanal bağlamayı etkinleştirdi” dedi. “Bu güvenlik geliştirmeleri, varsayılan olarak üç şirket içi hizmette NTLM aktarma saldırıları riskini azaltır: Exchange Server, Active Directory Sertifika Hizmetleri (AD CS) ve LDAP.”
“NTLM’yi varsayılan olarak devre dışı bırakma yolunda ilerledikçe, Exchange Server, AD CS ve LDAP’de EPA’nın etkinleştirilmesi gibi anlık, kısa vadeli değişiklikler, ‘varsayılan olarak güvenli’ duruşunu güçlendiriyor ve kullanıcıları gerçek dünyadaki saldırılara karşı koruyor.”
Diğer Satıcıların Yazılım Yamaları
Microsoft dışında, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: