Microsoft’un 2024’ün sonuncusu olan Aralık Yaması Salı güncellemesi, çeşitli ürünlerde yeni tanımlanan 71 kusur da dahil olmak üzere çok sayıda güvenlik açığını gideriyor.
Salı günü olağan Aralık Yaması’nın bir parçası olarak Microsoft, birçoğu aktif olarak istismar edilen bir dizi kritik güvenlik sorununa yanıt verdi. Bu ay yamalanan güvenlik açıkları arasında en dikkat çekeni, Windows Ortak Günlük Dosya Sistemi (CLFS) sürücüsündeki bir sıfır gün kusuru olan CVE-2024-49138’dir.
2024, ele alınan güvenlik açıklarının sayısı açısından Microsoft için bir dönüm noktası yılı oldu. Yıl boyunca yamalanan toplam 1.009 Ortak Güvenlik Açığı ve Etkilenme (CVE) ile bu, ele alınan maksimum güvenlik açığı sayısını işaret ediyor. Microsoft, 2020’de yamalanan 1.245 CVE rekorunu henüz aşamamış olsa da, 2024, Yama Salı tarihinde şirketin 1.000 sınırını aştığı yalnızca ikinci yıl oldu.
Microsoft Patch’e Genel Bakış Salı Aralık 2024
En son veriler, 2024’te düzeltilen güvenlik açıklarının yaklaşık %40’ının uzaktan kod yürütme (RCE) kusurları, %29’unun ayrıcalık yükseltme güvenlik açıkları ve %10’unun hizmet reddi sorunları olduğunu vurguluyor. Tavsiye belgesine göre, bu güvenlik açıklarının çoğunluğu “önemli” olarak derecelendirildi ve daha küçük bir kısmı da “kritik” olarak sınıflandırıldı.
Aralık Yaması Salı güncellemesinde Microsoft, 27 ayrıcalık yükseltme sorunu, 30 uzaktan kod yürütme hatası, 7 bilginin ifşa edilmesi güvenlik açığı, 5 hizmet reddi hatası ve 1 kimlik sahtekarlığı güvenlik açığı dahil olmak üzere geniş bir güvenlik açığı yelpazesini ele aldı. Bunlar arasında CVE-2024-49138, özellikle vahşi doğada kullanımı nedeniyle en kritik ve acil olanı olarak öne çıkıyor.
CVE-2024-49138: Sıfır Gün Ayrıcalık Yükselişi Kusuru
Windows CLFS sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2024-49138, bu ay ele alınan en önemli sorundur. Bu kusurdan aktif olarak sıfır gün olarak yararlanıldı; bu da Microsoft’un bir düzeltme yayınlamasından önce saldırganların bu kusurdan yararlandığı anlamına geliyor. Güvenlik açığı, bir saldırgana SİSTEM düzeyinde ayrıcalıklar verme potansiyeli nedeniyle özellikle kötü amaçlıdır. CLFS sürücüsü, Windows işletim sisteminin kritik bir bileşenidir ve hem kullanıcı modu hem de çekirdek modu yazılımı tarafından genel amaçlı günlük kaydı için kullanılır.
Kusur, çökmelere, hizmet reddine ve hatta uzaktan kod yürütülmesine yol açabilecek yaygın bir güvenlik açığı türü olan yığın tabanlı arabellek taşması (CWE-122) olarak sınıflandırılır. CVE-2024-49138, bu yıl yamalanan CLFS ile ilgili dokuzuncu güvenlik açığıdır ve doğada aktif olarak kullanılan ilk güvenlik açığıdır. Microsoft, CVSSv3 puanı 7,8 ile bu sorunu “önemli” olarak değerlendirdi.
Tenable Kıdemli Personel Araştırma Mühendisi Satnam Narang, bu güvenlik açığına ilişkin analizinde şunları belirtti: “Microsoft, 2024 Salı günü son Yaması’nda, Windows CLFS Sürücüsünde sıfır gün ayrıcalık yükselmesi olan CVE-2024-49138’i ele aldı. bu ayki ‘istismar edilmiş’ etiketli yayının tek kusuru bu.” Narang, fidye yazılımı operatörlerinin son yıllarda özellikle CLFS açıklarından yararlanmaya odaklandıklarını belirtti. Bu güvenlik açıkları, ağlar arasında yanal olarak hareket etmelerine, verileri çalmalarına, dosyaları şifrelemelerine ve kurbanları şantaj yapmalarına olanak tanıyor.
CVE-2024-49070: Microsoft SharePoint’te Uzaktan Kod Yürütme Güvenlik Açığı
Bu ay yamalanan bir diğer sorun ise Microsoft SharePoint’i etkileyen bir uzaktan kod yürütme güvenlik açığı olan CVE-2024-49070’dir. Bu güvenlik açığına CVSSv3 puanı 7,4 olarak atandı ve “önemli” olarak derecelendirildi. Saldırganın, yararlanma güvenilirliğini sağlamak için hedefi hazırlaması gerektiğinden, bu güvenlik açığından başarılı bir şekilde yararlanılması yüksek karmaşıklık gerektirir. Buna rağmen Microsoft, bu kusurun istismar edilebilirliğini “Daha Olası” olarak değerlendirdi.
Ayrıca Microsoft, iki bilgi ifşa kusuru (CVE-2024-49062, CVE-2024-49064) ve başka bir ayrıcalık yükselmesi sorunu (CVE-2024-49068) dahil olmak üzere SharePoint’teki diğer güvenlik açıklarını da giderdi.
CVE-2024-49118 ve CVE-2024-49122: Microsoft Messenger Queuing’deki Kritik RCE Güvenlik Açıkları
Aralık sürümünde yamalanan diğer iki kritik güvenlik açığı Microsoft Mesaj Queuing’i (MSMQ) etkiliyor. Hem CVE-2024-49118 hem de CVE-2024-49122, CVSSv3 puanı 8,1 olan ve “kritik” olarak derecelendirilen uzaktan kod yürütme kusurlarıdır. Bu kusurlar, bir saldırganın bir yarış koşulundan yararlanmasını gerektirir, ancak nadiren gerçekleşen belirli işlemlere bağlı olduğundan, bu açıklardan yararlanılması her zaman kolay değildir. Bu güvenlik açıkları, MSMQ’yu etkileyen RCE kusurlarının toplam sayısını altıya çıkardı; ilgili güvenlik açıkları için yılın başlarında yayınlanan önceki yamalar da vardı.
CVE-2024-49106, CVE-2024-49108 ve diğerleri de dahil olmak üzere Windows Uzak Masaüstü Hizmetleri’nde çeşitli kritik güvenlik açıkları da giderildi. Bu kusurlar, bir saldırganın bir yarış koşulundan yararlanmasına ve serbest kullanımdan sonra kullanım senaryosu oluşturmasına olanak tanıyarak rastgele kod yürütülmesine yol açabilecek uzaktan kod yürütme güvenlik açıklarıdır.
Büyük Resim: 2024’te Fidye Yazılımları ve İstismarlar
Microsoft, 2024 yılında, çoğu tehdit aktörleri tarafından aktif olarak istismar edilen toplam 22 sıfır gün güvenlik açığını yamaladı. Narang, bunların yaklaşık yüzde 40’ının uzaktan kod yürütme kusurları olduğunu ve bunun da RCE güvenlik açıklarının artan risklerine işaret ettiğini vurguladı. Özellikle fidye yazılımı operatörleri, ayrıcalıklarını artırmak ve saldırılarını daha etkili bir şekilde gerçekleştirmek için CLFS sürücüsündekiler gibi ayrıcalık yükseltme kusurlarından yararlanma yönünde bir eğilim geliştirdiler.
Aralık 2024 Salı Yaması, Microsoft’tan hem kullanıcılar hem de kuruluşlar için ciddi sonuçlar doğurabilecek bir dizi güvenlik açıklarını ele alan önemli bir güncellemeyi işaret ediyor. Bu ayki yama çalışmaları, CVE-2024-49138 gibi sıfır gün açıklarından Microsoft SharePoint ve Uzak Masaüstü Hizmetlerindeki kritik güvenlik açıklarına kadar siber güvenlik profesyonellerinin devam eden çabalarını öne çıkarıyor.
İlgili