Eylül 2024 Salı Yaması geldi ve Microsoft, saldırganlar tarafından istismar edilen bir avuç sıfır gün (CVE-2024-38217, CVE-2024-38226, CVE-2024-38014, CVE-2024-43461) ve önceki CVE düzeltmelerini geri alan bir Windows 10 kod hatası (CVE-2024-43491) da dahil olmak üzere 79 düzeltme yayınladı.
Aktif olarak istismar edilen kusurlar
Daha önce kamuoyuna açıklanan tek bir tanesiyle başlayalım: CVE-2024-38217Saldırganların Web İşareti’ni (MotW) aşmasını sağlayan bir güvenlik açığı.
Elastic Security araştırmacısı Joe Desimone, saldırganların standart dışı hedef yolları veya dahili yapıları olan Windows kısayol dosyaları (.LNK) oluşturarak bu güvenlik açığından yıllardır yararlandığını bildirdi.
Böyle bir dosya, Windows’un dosyayı “yeniden yazmasını” ve MotW meta verilerini kaldırmasını zorunlu kılacaktır. Bu da Microsoft’a göre, SmartScreen Uygulama İtibarı güvenlik kontrolü ve/veya eski Windows Ek Hizmetleri güvenlik istemi gibi güvenlik özelliklerinin bütünlüğünün ve kullanılabilirliğinin sınırlı bir şekilde kaybolmasına neden olacaktır.”
Sırada şu var CVE-2024-38226saldırganların bir güvenlik özelliğini atlatmasını sağlayan başka bir güvenlik açığı. Bu güvenlik açığı, Microsoft Office’in bazı sürümlerinde de bulunan bağımsız bir uygulama olan Microsoft Publisher’ı etkiler.
Microsoft, ilgili tavsiyede “Saldırı, hedeflenen sisteme kimlik doğrulaması yapan bir kullanıcı tarafından yerel olarak gerçekleştirilir. Kimliği doğrulanmış bir saldırgan, sosyal mühendislik yoluyla bir kurbanı, kurbanın bilgisayarına yerel bir saldırıya yol açabilecek bir web sitesinden özel olarak hazırlanmış bir dosyayı indirmeye ve açmaya ikna ederek bu güvenlik açığından yararlanabilir” açıklamasında bulundu.
Açıkça, biri bunu yapmayı başardı ve böylece hedeflenen makine(ler)de kötü amaçlı kod yürütmek için Office makro politikalarını atlattı. Ne yazık ki Microsoft, açığı kimin bildirdiğini paylaşmadı, bu yüzden bu güvenlik açığının kullanıldığı saldırının doğası hakkında spekülasyon bile yapamıyoruz.
Bu sefer Microsoft tarafından düzeltilen bir diğer istismar edilmiş sıfır günlük hata ise CVE-2024-38014Windows Installer’da kimliği doğrulanmış saldırganların ayrıcalıklarını SYSTEM’e yükseltmelerine olanak verebilecek bir güvenlik açığı.
“İlginçtir ki, Microsoft bu hata için kullanıcı etkileşiminin gerekmediğini belirtiyor, bu nedenle istismarın gerçek mekaniği tuhaf olabilir. Yine de, bu tür ayrıcalık yükseltmeleri genellikle bir sistemi ele geçirmek için bir kod yürütme hatasıyla eşleştirilir. Bu düzeltmeyi hızla test edin ve dağıtın,” diyor Trend Micro’nun Zero Day Initiative’inde tehdit farkındalığı başkanı Dustin Childs.
Tenable’da kıdemli araştırma mühendisi olan Satnam Narang, ayrıcalık yükseltme güvenlik açıklarının, güvenlik ihlali sonrası faaliyetlerle ilgili olması nedeniyle uzaktan kod yürütme hataları kadar dikkat çekmeyebileceğini belirtti.
“Ancak saldırganlar için oldukça değerliler çünkü daha fazla hasara yol açabiliyor veya daha fazla veriyi tehlikeye atabiliyorlar ve kuruluşların saldırı yollarını kesmek ve gelecekteki tehlikeleri önlemek için bu kusurları düzeltmeleri önemlidir” diye ekledi.
CVE-2024-43461Windows MSHTML Platformu’nda sahtecilik amaçlı bir güvenlik açığı olan , şu anda yaygın olarak istismar edilen bir güvenlik açığı olarak tanımlanmıyor, ancak Childs bunun olması gerektiğini söylüyor.
“Bu hata, bildirdiğimiz ve Temmuz ayında düzeltilen güvenlik açığına benziyor. ZDI Threat Hunting ekibi bu açığı doğada keşfetti ve Haziran ayında Microsoft’a bildirdi. Görünüşe göre tehdit aktörleri önceki düzeltmeyi hızla atlatmış,” diye belirtti.
“Microsoft’a hatayı bildirdiğimizde, etkin bir şekilde kullanıldığını belirttik. Neden etkin bir saldırı altında olarak listelemediklerinden emin değiliz, ancak özellikle Windows’un desteklenen tüm sürümlerini etkilediği için, bunu öyleymiş gibi ele almalısınız.”
Dikkat edilmesi gereken diğer güvenlik açıkları
CVE-2024-43491 Windows 10 sürüm 1507’de İsteğe Bağlı Bileşenleri (örneğin Internet Explorer 11, Windows Media Player, MSMQ sunucu çekirdeği vb.) etkileyen bazı güvenlik açıklarına yönelik düzeltmeleri etkili bir şekilde geri alan ilginç bir güvenlik açığıdır.
Immersive Labs’ın Tehdit Araştırmaları Kıdemli Direktörü Kevin Breen, Help Net Security’ye yaptığı açıklamada, “Bu özel güvenlik açığı, Windows güncelleme sistemini, bazı bileşenlere yönelik güvenlik yamalarının savunmasız bir duruma geri alınması ve Mart 2024’ten bu yana savunmasız bir durumda kalması şeklinde etkiledi.” dedi.
“Bu bileşenlerden bazılarının geçmişte de açık alanda istismar edildiği biliniyordu; bu da saldırganların Windows güncellemesinin tamamen düzeltildiğini söylemesine rağmen bunları hâlâ istismar edebileceği anlamına geliyor.”
Ancak Microsoft’a göre, CVE-2024-43491’in kendisinin istismarı tespit edilmedi. “Ayrıca, Microsoft’taki Windows ürün ekibi bu sorunu keşfetti ve bunun kamuoyunda bilindiğine dair hiçbir kanıt görmedik.”
Diğer iyi haber ise Windows 10 sistemlerinin yalnızca küçük bir kısmının etkilenmiş olmasıdır. Kullanıcılar/yöneticiler, makinelerinin etkilenip etkilenmediğini görmek için uyarıyı kontrol etmeli ve “Eylül 2024 Hizmet yığını güncelleştirmesini (SSU KB5043936) VE Eylül 2024 Windows güvenlik güncelleştirmesini (KB5043083) bu sırayla yüklemelidir.”
Microsoft’un istismar edilme olasılığının daha yüksek olduğunu düşündüğü düzeltilmiş güvenlik açıkları arasında Microsoft Sharepoint’teki dört güvenlik açığı bulunmaktadır (CVE-2024-38018, CVE-2024-38227, CVE-2024-38228, CVE-2024-43464) SharePoint Server’da uzaktan kod yürütmeyi başarmak için istismar edilebilir. Dördü de istismara başlamak için saldırganın kimliğinin doğrulanmasını gerektirir, ancak SharePoint yöneticileri bunlar için düzeltmeler uygulamakta fayda görür.