Nisan 2024 Yaması Salı günü Microsoft, Microsoft’un istismar edilmiş olarak işaretlemediği bir güvenlik açığı olan CVE-2024-29988 de dahil olmak üzere 147 CVE numaralı güvenlik açığını düzeltti, ancak Trend Micro’nun Sıfır Gün Girişimi kıdemli tehdit araştırmacısı Peter Girnus ( ZDI), vahşi doğada saldırganlar tarafından istismar edildiğini tespit etti.
ZDI tehdit farkındalığı başkanı Dustin Childs, “Tehdit aktörleri, EDR/NDR tespitinden kaçınmak için sıkıştırılmış bir dosyada istismarlar gönderiyor ve ardından bu hatayı (ve diğerlerini) MotW’u atlamak için kullanıyor” diyor.
CVE-2024-29988 ayrıca Google’ın Tehdit Analiz Grubu’ndan Dmitrij Lenz ve Vlad Stolyarov tarafından da rapor edildi; bu, Microsoft tarafından onaylanmamış olmasına rağmen aktif istismarın çok muhtemel olduğu anlamına geliyor.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “CVE-2024-29988, Şubat ayında sıfır gün olarak istismar edilen benzer bir kusuru (CVE-2024-21412) ortaya çıkaran aynı araştırmacılardan bazılarına atfedilmektedir” diyor.
“Bir tür kullanıcı etkileşimi gerektiren doğrudan araçlarla (e-posta ve doğrudan mesajlar) yapılan sosyal mühendislik, bu tür kusurlardan yararlanmanın tipik bir yoludur. CVE-2024-21412, Apple’ın iTunes, Notion, NVIDIA ve daha fazlasını taklit eden sahte yazılım yükleyicilerinden yararlanan DarkGate kampanyasının bir parçası olarak kullanıldı.”
Dikkat edilmesi gereken diğer güvenlik açıkları
Childs, Windows DNS sunucuları çalıştıran kullanıcıları, yedi uzaktan kod yürütme hatasına (CVE-2024-26221-CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 ve CVE-2024-26233) yönelik yamaları bir an önce dağıtmaya çağırıyor. daha sonra, başarılı sömürüde bir zamanlama faktörünün yer almasına rağmen.
Microsoft, saldırganların, bilgisayarlar başlatıldığında kötü amaçlı yazılımların yüklenmesini engellemeyi amaçlayan bir güvenlik özelliği olan Windows Güvenli Önyükleme’yi atlamalarına olanak verebilecek 24 güvenlik açığını düzeltti.
Narang, Microsoft’un bunların istismar edilmesinin “daha az olası” olduğunu düşünmesine rağmen, Microsoft’un Mayıs 2023’te Windows Güvenli Önyükleme’deki (CVE-2023-24932) bir kusuru en son yamalamasının, vahşi ortamda istismar edilmesi ve güvenlikle bağlantılı olması nedeniyle dikkate değer bir etki yarattığına dikkat çekti. BlackLotus UEFI önyükleme kiti.
“Yama sorunu düzeltiyor [Secure Boot] Childs, “hatalar mevcut ancak korumalar varsayılan olarak etkin değil” diye ekledi. Kullanıcılar bu belgeye başvurmalı ve bunları etkinleştirmelidir.
Ayrıca, Uzaktan Yordam Çağrısı (RCP) Çalışma Zamanında kimliği doğrulanmış bir RCE kusuru olan CVE-2024-20678’i ve saldırganların kullanıcıların NTLM (kimlik doğrulama) karmalarını toplamasına izin verebilecek bir Windows için Outlook güvenlik açığı olan CVE-2024-20670’i de belirledi. önümüzdeki aylarda saldırganlar tarafından hedef alınması muhtemeldir ve bu nedenle hızla yamalanmalıdır.
Son olarak, Azure AI Arama’da (CVE-2024-29063) saldırganların hassas API anahtarlarını ele geçirmesine olanak verebilecek ilginç bir bilgi açıklama hatasının yanı sıra, IoT için birkaç kritik ve önemli Microsoft Defender hatasına yönelik yamalar bulunmaktadır.
“Güvenlik açığı, Azure AI Arama’nın arka uç altyapısında yapılan yakın zamanda yapılan bir güncellemeyle azaltıldı. Microsoft, “Belirli kimlik bilgilerini döndürmesi gereken müşterilere, İzleme Kimliği: WL1G-3TZ kapsamında Azure Hizmet Durumu Uyarıları aracılığıyla bilgi verildi” dedi. “Bu Azure Hizmet Durumu Uyarısını almayan müşterilerin bu güvenlik açığına karşı korunmak için herhangi bir işlem yapmasına gerek yoktur.”
Savunmacılar EoP kusurlarını düzeltmeye öncelik vermeli mi?
Narang, 2024’ün sıfır gün açısından alışılmadık derecede sakin bir yıl olduğunu söyledi.
“Bu düşüşün neden görüldüğünü tam olarak belirlemek zor; bu sadece görünürlük eksikliğinden mi, yoksa saldırganların kuruluşlara yönelik saldırılarının bir parçası olarak bilinen güvenlik açıklarından yararlanma eğilimine işaret etmesinden mi kaynaklanıyor?” yorumunu yaptı.
SonicWall Capture Labs’ın yakın zamanda işaret ettiği bir başka ilginç şey de, RCE hatalarının savunmacıların daha fazla dikkatini çekmesine rağmen, 2023’te saldırganların Microsoft’un ayrıcalık yükseltme (EoP) sıfır gün güvenlik açıklarından RCE’lerden daha sık yararlanmasıdır.
Araştırmacılar, “Saldırganların, ilk girişte Microsoft’a özel güvenlik açıklarından ziyade kimlik avını tercih ettiğini ve ardından erişimlerini geliştirmek için Microsoft’un ayrıcalıklı güvenlik açıklarından yararlanmayı tercih ettiğini görüyoruz” dedi.
Ayrıca, 2023 Salı Yaması sonrasında CISA, Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna yalnızca dört Microsoft güvenlik açığı (kullanılan sıfır günlerin dışında) ekledi: üç EoP ve bir Güvenlik Özelliğini Atlatma.
SonicWall, “Bu iki veri noktası göz önüne alındığında, Microsoft güvenlik açıklarının geniş bir listesine bakan kuruluşlar için ayrıcalıkların yükseltilmesi kategorisinin, önceliklendirmede yararlanılabilir endeks veya diğer güvenlik açıklarından daha fazla ağırlık taşıması gerektiği sonucuna varmak mantıklıdır” dedi. dışarı.
“Ayrıcalıkların yükseltilmesi zayıflıkların CVSS ve sömürülebilirlik olasılık puanının daha düşük olmasına rağmen, tehdit aktörleri için genellikle en çekici olanlardır çünkü taktik kitaplarındaki kritik bir boşluğu doldururlar.”