Microsoft, Mart ayı Salı Yaması güvenlik güncellemesinde 60 benzersiz CVE için yama yayınladı; bunlardan yalnızca ikisi “kritik” olarak derecelendirildi ve öncelikli müdahale gerektiriyor. Her ikisi de Windows Hyper-V sanallaştırma teknolojisini etkiler: CVE-2024-21407, bir uzaktan kod yürütme (RCE) hatası; Ve CVE-2024-21408, Bu bir hizmet reddi (DoS) güvenlik açığıdır.
Güncelleme, toplam 18 RCE hatasına ve iki düzine ayrıcalık yükseltme güvenlik açığına yönelik düzeltmeler içeriyor; bunlardan bazıları tehdit aktörlerinin etkilenen sistemlerin idari kontrolünü ele geçirmesine olanak tanıyor.
Microsoft'un yalnızca “önemli” önem derecesine sahip olarak değerlendirdiği ve istismar edilme ihtimalinin daha düşük olduğu bazı güvenlik açıklarının, kötüye kullanılması halinde potansiyel etkileri nedeniyle CVSS güvenlik açığı ciddiyet ölçeğinde hala 10 üzerinden 9,0'ın üzerinde önem puanına sahip olduğu dikkat çekiyor.
“Bu ayın Salı Yaması Action1'in başkanı ve kurucu ortağı Mike Walters, e-postayla gönderilen yorumlarda şunları yazdı: “Microsoft'un sabit güvenlik açıklarında geçen ayki 74 güncellemeye göre bir düşüşle toplamda 60'lık bir azalma var.” sıfır gün güvenlik açıkları veya kavram kanıtları (PoC'ler), göreceli bir sakinlik anının altını çiziyor.”
Kritik RCE, DoS Hyper-V Güvenlik Açıkları
Critical Start'ın siber tehdit istihbaratı araştırma analisti Sarah Jones, Hyper-V'deki RCE hatasının, saldırganlara etkilenen sistemlerin tam kontrolünü ele geçirme ve Hyper-V sunucusunda barındırılan sanal makineleri potansiyel olarak tehlikeye atma olanağı sağladığını söylüyor.
Bu arada DoS güvenlik açığı, bir saldırganın Hyper-V hizmetini çökertmesine ve onu kullanılamaz hale getirmesine olanak tanıyor.
Jones, “Bu, kullanıcıların Hyper-V sunucusunda barındırılan sanal makinelere (VM'ler) erişmesini engelleyebilir ve potansiyel olarak kritik iş operasyonlarında önemli kesintilere neden olabilir” diye belirtiyor. “Hyper-V kullanıyorsanız, bu kritik güvenlik açıklarını gidermek ve sistemlerinizi korumak için güvenlik güncellemelerini hemen yüklemeniz çok önemlidir.”
Microsoft Ayrıcalık Yükseltme Hatalarıyla İlgili Bir Telaş
Microsoft, bu hafta açıkladığı güvenlik açıklarından altısını, tehdit aktörlerinin gelecekte yararlanma olasılığının daha yüksek olduğu kusurlar olarak tanımladı. Bunların çoğu ayrıcalık yükselmesi güvenlik açıklarıydı. Onlar dahil CVE-2024-26170 Windows Bileşik Görüntü Dosya Sisteminde; CVE-2024-26182 Windows Çekirdeğinde; CVE-2024-21433 Windows Yazdırma Biriktiricisi'nde; Ve CVE-2024-21437 Windows Grafik Bileşeninde.
Tenable'ın kıdemli personel araştırmacısı Satnam Narang, ayrıcalık yükseltme kusurlarının, fidye yazılımı grupları ve diğer mali motivasyonlu aktörlerden ziyade, gelişmiş kalıcı tehdit (APT) aktörlerinin istismar sonrası senaryosunda daha fazla ilgi çekeceğini belirtti.
Narang, e-postayla gönderilen bir açıklamada “Bir APT grubunun hedefi genellikle casuslukla ilgilidir” dedi. “APT grupları mümkün olduğunca radar altında kalmayı tercih ederken, fidye yazılımı bağlı kuruluşu daha çok parçala-yakala yaklaşımına odaklanıyor çünkü amaçları finansal kazanç sağlamak.”
Immersive Labs'ın baş siber güvenlik mühendisi Ben McCarthy, e-postayla gönderdiği bir yorumda, Windows Çekirdeğindeki ayrıcalık yükselmesi güvenlik açığına (CVE-2024-26182) bir saldırganın yalnızca etkilenen bir sisteme zaten erişim elde etmesi halinde yararlanabileceği bir şey olduğuna dikkat çekti. . Ancak hata başarılı olduktan sonra saldırganın sistem düzeyinde tam ayrıcalıklara sahip olmasına olanak tanıyor.
McCarthy, “Bu tür bir güvenlik açığı normalde bir ağdaki Active Directory veya önemli bir Windows Sunucusu gibi önemli bir makineyi tamamen ele geçirmek için kullanılır” dedi.
Microsoft Hataları: Önemli, Ancak Yüksek Öncelikli
Microsoft'un yalnızca “önemli” olarak derecelendirdiği yüksek önemdeki bir hata şuydu: CVE-2024-21334Açık Yönetim Altyapısında (OMI) 9,8 dereceli bir RCE güvenlik açığı. Qualys'in tehdit araştırma birimindeki güvenlik açığı araştırması yöneticisi Saeed Abbasi, bu puan nedeniyle hatayı yama öncelikleri listesinde üst sıralarda yer alması gereken bir hata olarak tanımlıyor.
Abbasi, “Bu güvenlik açığı, uzak, kimliği doğrulanmamış saldırganların, serbest bırakma sonrası kullanım hatasından yararlanan özel hazırlanmış istekler göndererek, İnternet üzerinden açıktaki OMI örnekleri üzerinde rastgele kod yürütmesine olanak tanıyor” diyor. “OMI'nin BT ortamlarını yönetmedeki rolü göz önüne alındığında, potansiyel etki çok büyüktür ve çevrimiçi olarak erişilebilen potansiyel olarak çok sayıda sistemi etkilemektedir.”
Microsoft, istismarın daha az olası olduğunu düşünse de, kritik bir bileşene yönelik saldırı vektörünün (UAF) basitliği, tehdit düzeyinin hafife alınmaması gerektiğini gösterdiği konusunda uyarıyor. Geçmişte bu gibi hatalar OMIGOD OMI güvenlik açıkları seti 2021'de saldırganların büyük ilgisini çekti.
CVE-2024-20671, bir Microsoft Defender güvenlik özelliği atlama kusuru ve CVE-2024-21421Azure SDK'daki bir kimlik sahtekarlığı güvenlik açığı olan .
Fortra'nın üst düzey güvenlik müdürü Tyler Reguly, hazırlanan yorumlarında “Bu belirli güvenlik açıklarının geçici çözümleri veya yamaları olsa da, tehdit aktörlerinin bu yönlere artan odaklanması endişe verici” dedi.
Ayrıca Microsoft Authenticator'da bir ayrıcalık yükselmesi hatasına da dikkat çekti (CVE-2024-21390) yöneticilerin dikkat etmesi gereken bir şey olarak. “Güvenlik açığının başarılı bir şekilde kullanılması, saldırganın kullanıcıların çok faktörlü kimlik doğrulamasına erişmesine olanak tanıyabilir [MFA] Reguly, “Microsoft bunu CVSS puanı olarak 7,1 ile derecelendirdi ve kurbanın uygulamayı kapatıp yeniden açması gerekeceğinden kullanıcı etkileşiminin gerekli olduğunu belirtti.”
Genel olarak, büyük Microsoft düzeltme eki hacimleriyle uğraşan yöneticiler için son üç ay, alışılmışın dışında bir dönem oldu. Örneğin bu, Microsoft'un aylık güvenlik güncellemesinde sıfır gün hatasını açıklamadığı üst üste ikinci aydır. Tenable'dan Narang, Microsoft'un şimdiye kadar yılın ilk çeyreğinde toplam 181 CVE için yama yayınladığını ve bunun önceki dört yılın her birinde görülen 237 yamalık ilk çeyrek ortalamasının önemli ölçüde altında olduğunu belirtti.
Narang, “Mart ayında son dört yılda yamalanan ortalama CVE sayısı 86 idi.” dedi. “Bu ay yalnızca 60 CVE yaması uygulandı.”