Microsoft, Mayıs 2024 Salı Yaması güncellemelerinin bir parçası olarak yazılımındaki toplam 61 yeni güvenlik açığını giderdi; bunlara, vahşi ortamda aktif olarak kullanılan iki sıfır gün de dahildir.
61 kusurdan biri Kritik, 59’u Önemli ve biri de Orta şiddette olarak derecelendirildi. Bu, Chromium tabanlı Edge tarayıcısında geçen ay çözülen 30 güvenlik açığına ek olarak, yakın zamanda açıklanan ve saldırılarda kötüye kullanıldığı etiketlenen iki sıfır gün (CVE-2024-4671 ve CVE-2024-4761) dahil.
Vahşi doğada silah haline getirilen iki güvenlik eksikliği aşağıdadır:
- CVE-2024-30040 (CVSS puanı: 8,8) – Windows MSHTML Platformu Güvenlik Özelliği Güvenlik Açığı Aşıyor
- CVE-2024-30051 (CVSS puanı: 7,8) – Windows Masaüstü Pencere Yöneticisi (DWM) Çekirdek Kütüphanesinde Ayrıcalık Yükselmesi Güvenlik Açığı
Teknoloji devi, CVE-2024’e yönelik bir danışma belgesinde, “Bu güvenlik açığından başarıyla yararlanan, kimliği doğrulanmamış bir saldırgan, kullanıcıyı kötü amaçlı bir belge açmaya ikna ederek kod yürütme elde edebilir ve bu noktada saldırgan, kullanıcının bağlamında rastgele kod çalıştırabilir” dedi. -30040.
Bununla birlikte, başarılı bir şekilde yararlanma, bir saldırganın kullanıcıyı, e-posta veya anlık mesaj yoluyla dağıtılan, özel hazırlanmış bir dosyayı savunmasız bir sisteme yüklemeye ikna etmesini ve onu kandırarak bu dosyayı değiştirmesini gerektirir. İlginç bir şekilde, kurbanın enfeksiyonu etkinleştirmek için kötü amaçlı dosyayı tıklaması veya açması gerekmiyor.
Öte yandan CVE-2024-30051, bir tehdit aktörünün SİSTEM ayrıcalıkları kazanmasına olanak tanıyabilir. Kaspersky, DBAPPPSecurity WeBin Lab, Google Threat Analysis Group ve Mandiant’tan oluşan üç araştırmacı grubunun kusuru keşfetmesi ve raporlamasıyla itibar kazandı, bu da olası yaygın istismara işaret ediyor.
Kaspersky araştırmacıları Boris Larin ve Mert Değirmenci, “Bunun QakBot ve diğer kötü amaçlı yazılımlarla birlikte kullanıldığını gördük ve birden fazla tehdit aktörünün buna erişebildiğine inanıyoruz.” dedi.
Her iki güvenlik açığı da ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi ve federal kurumların en son düzeltmeleri 4 Haziran 2024’e kadar uygulaması gerekiyor.
Microsoft tarafından ayrıca, Windows Mobile Geniş Bant Sürücüsünü etkileyen dokuz ve Windows Yönlendirme ve Uzaktan Erişim Hizmetini (RRAS) etkileyen yedi tanesi dahil olmak üzere çeşitli uzaktan kod yürütme hataları da çözüldü.
Diğer dikkate değer kusurlar arasında Ortak Günlük Dosya Sistemi (CLFS) sürücüsündeki – CVE-2024-29996, CVE-2024-30025 (CVSS puanları: 7,8) ve CVE-2024-30037 (CVSS puanı: 7,5) – Win32k’deki ayrıcalık yükseltme kusurları yer alır. (CVE-2024-30028 ve CVE-2024-30030, CVSS puanları: 7,8), Windows Arama Hizmeti (CVE-2024-30033, CVSS puanı: 7,0) ve Windows Çekirdeği (CVE-2024-30018, CVSS puanı: 7,8) .
Mart 2024’te Kaspersky, “hızlı bir NT AUTHORITY\SYSTEM almanın çok kolay bir yolu” olması nedeniyle tehdit aktörlerinin çeşitli Windows bileşenlerindeki artık yamalanmış ayrıcalık yükseltme kusurlarından aktif olarak yararlanmaya çalıştığını açıkladı.
Akamai ayrıca, DHCP yönetici grubundan yararlanan, Active Directory (AD) ortamlarını etkileyen yeni bir ayrıcalık yükseltme tekniğinin ana hatlarını çizdi.
Şirket, “DHCP sunucu rolünün bir Etki Alanı Denetleyicisine (DC) yüklendiği durumlarda, bu onların etki alanı yönetici ayrıcalıkları kazanmalarına olanak sağlayabilir” dedi. “Bir ayrıcalık yükseltme ilkesi sağlamanın yanı sıra, aynı teknik aynı zamanda gizli bir etki alanı kalıcılık mekanizması oluşturmak için de kullanılabilir.
Listenin tamamlanması, Windows Web İşaretini (MotW) etkileyen ve savunmalardan kaçmak için kötü amaçlı bir dosya aracılığıyla kullanılabilecek bir güvenlik özelliği atlama güvenlik açığıdır (CVE-2024-30050, CVSS puanı: 5,4).
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: