Kasım 2024 Yaması Salı geldi ve Microsoft, çeşitli ürünlerindeki 89 yeni güvenlik sorununa yönelik düzeltmeleri kaldırdı; bunlardan ikisi (CVE-2024-43451 ve CVE-2024-49039) saldırganlar tarafından aktif olarak istismar ediliyor.
İstismar edilen güvenlik açıkları (CVE-2024-43451, CVE-2024-49039)
CVE-2024-43451 saldırganların, kullanıcının kimlik doğrulama bilgilerini içeren NTLMv2 karma değerini ifşa ederek hedeflenen Windows ve Windows Server makinelerindeki ayrıcalıklarını yükseltmesine olanak tanıyan bir başka güvenlik açığıdır.
Hash daha sonra saldırganlar tarafından, hash’i geçirme adı verilen bir bilgisayar korsanlığı tekniği kullanılarak bir sistemin kullanıcı olarak kimliğini doğrulamak için kullanılabilir.
Tenable Kıdemli Personel Araştırma Mühendisi Satnam Narang, Help Net Security’ye şunları söyledi: “Bildiğim kadarıyla bu, bir kullanıcının 2024 yılında istismar edilen NTLMv2 karma değerini açığa çıkarabilecek üçüncü güvenlik açığıdır.”
“Şu anda CVE-2024-43451’in kullanımıyla ilgili bilgimiz olmasa da kesin olan bir şey var: Saldırganlar, NTLMv2 hash’lerini açığa çıkarabilecek sıfır gün güvenlik açıklarını keşfetme ve bunlardan yararlanma konusunda kararlı olmaya devam ediyor. Çünkü sistemlerde kimlik doğrulaması yapmak ve diğer sistemlere erişmek için bir ağ içinde yanal olarak hareket etmek için kullanılabilirler.”
Güvenlik açığının tetiklenmesi için kullanıcı etkileşimi (örneğin, istismarı içeren kötü amaçlı dosyayı seçmek veya incelemek) gereklidir, ancak bunun saldırganlar için gerçek bir engel olmadığı açıktır.
CVE-2024-49039 Windows Görev Zamanlayıcı’da bulunan ve aynı zamanda ihlal edilen sistemlerdeki ayrıcalıkları yükseltmek için kullanılan bir güvenlik açığıdır.
“Hata, AppContainer’ın kaçışına izin vererek düşük ayrıcalıklı bir kullanıcının Orta düzeyde bütünlükte kod yürütmesine olanak tanıyor. Bunun gerçekleşmesi için hala sistemde kod çalıştırabilmeniz gerekiyor, ancak konteyner kaçışları doğada nadiren görüldüğü için hala oldukça ilgi çekici,” diyor Trend Micro’nun Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs.
Narang, “Bir saldırgan bir kez istismar edildikten sonra ayrıcalıklarını yükseltebilir ve normalde kendileri için kullanılamayacak kaynaklara erişim elde edebilir, ayrıca uzaktan prosedür çağrısı (RPC) işlevleri gibi kod çalıştırabilir” diye ekledi.
“Bir kez daha, bu kusurun kullanım alanıyla ilgili çok fazla bilgimiz yok, ancak bu kusurun Google’ın Tehdit Analiz Grubu (TAG) üyeleri de dahil olmak üzere birden fazla kişiye atfedildiğini biliyoruz. Bu ilişkilendirmeye dayanarak, bu kusurun sıfır gün istismarıyla ilişkili bazı gelişmiş kalıcı tehditlerin (APT) veya ulus devlet uyumlu faaliyetlerin olduğu sonucunu çıkarabiliriz.”
Dikkat edilmesi gereken diğer yamalı güvenlik açıkları
CVE-2024-43639 ilginç bir örnek: “Kimliği doğrulanmamış bir saldırgan, hedefe karşı uzaktan kod yürütmek amacıyla Windows Kerberos’taki bir şifreleme protokolü güvenlik açığından yararlanmak için özel hazırlanmış bir uygulamayı kullanabilir” diyor Microsoft.
Güvenlik açığıyla ilişkili CVSS vektör dizesi, güvenlik açığından yararlanmak için herhangi bir kullanıcı eyleminin gerekmediğini söylüyor. Childs, “Kerberos yükseltilmiş ayrıcalıklarla çalıştığından, bu durum etkilenen sistemler arasında bu sorunun çözülebileceği bir hata haline geliyor” dedi ve Windows Sunucu yöneticilerine düzeltmeyi hızlı bir şekilde test edip dağıtmalarını tavsiye etti.
CVE2024-5535 – OpenSSL’de Haziran 2024’te açıklanan bir hata – Uç Nokta için Microsoft Defender’da yama uygulandı.
“Bu güvenlik açığından yararlanılması, bir saldırganın kurbana e-posta yoluyla kötü amaçlı bir bağlantı göndermesini veya genellikle bir e-posta veya Instant Messenger mesajı yoluyla kullanıcıyı bağlantıya tıklamaya ikna etmesini gerektirir. En kötü e-posta saldırısı senaryosunda, saldırgan, kurbanın bağlantıyı açmasına, okumasına veya tıklamasına gerek kalmadan kullanıcıya özel hazırlanmış bir e-posta gönderebilir. Bu, saldırganın kurbanın makinesinde uzaktan kod çalıştırmasına neden olabilir” dedi Microsoft, ancak istismarın daha az olası olduğunu değerlendirdi.
CVE-2024-49019Active Directory Sertifika Hizmetleri’nde (AD CS) kamuya açıklanmış bir ayrıcalık yükseltme kusuru olan .
Immersive Labs Baş Siber Güvenlik Mühendisi Ben McCarthy, Help Net Security’ye şöyle konuştu: “Güvenlik açığı, belirli yanlış yapılandırılmış sertifika şablonları kullanılarak PKI (Genel Anahtar Altyapısı) ortamı tarafından verilen sertifikaların yönetiminde mevcut.”
Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etki alanı yöneticisi ayrıcalıkları elde edebilir” uyarısında bulundu ve çeşitli Windows Server sürümleri için düzeltmeler sağladı ve azaltıcı önlemler belirledi.
Childs da öne çıktı CVE-2024-43498Microsoft’a göre, “güvenlik açığı bulunan bir .NET web uygulamasına özel hazırlanmış istekler gönderilerek veya güvenlik açığı bulunan bir masaüstü uygulamasına özel hazırlanmış bir dosya yüklenerek” tetiklenebilen, .NET ve Visual Studio’daki bir RCE kusuru.
“Bu, Microsoft’un kamuya açık olmadığını söylediğim hatalardan biri, çünkü kesinlikle bu soruna benziyor” diye belirtti.
Sonunda var CVE-2024 43602Microsoft’un Azure CycleCloud’undaki bir uzaktan kod yürütme kusuru – Azure’daki Yüksek Performanslı Bilgi İşlem (HPC) ortamları için düzenleme ve yönetim aracı.
“Temel kullanıcı izinlerine sahip bir saldırgan, bu güvenlik açığından yararlanmak için bir Azure CycleCloud kümesinin yapılandırmasını değiştirmek üzere özel hazırlanmış istekler gönderebilir ve böylece kök düzeyinde izinler elde edebilir. Sonuç olarak, saldırgan örnek içindeki herhangi bir Azure CycleCloud kümesinde komutları çalıştırabilir ve belirli senaryolarda yönetici kimlik bilgilerini tehlikeye atabilir” diyor Immersive Labs Baş Siber Güvenlik Mühendisi Natalie Silva.
“Bu yazının yazıldığı sırada, saldırı karmaşıklığı Düşük olarak belirtilmiş olsa da, Microsoft’un bu konudaki istismar edilebilirlik değerlendirmesi ‘Kullanım Olasılığı Az’ şeklindeydi.”