Microsoft’un 2024 Salı günü ilk Yaması, toplam 47 güvenlik düzeltmesinden “kritik” olarak tanımlanan iki hatayla geldi.
En kötüsü, Windows 10 ve Windows 11’in yanı sıra 2008’e kadar Windows Server sürümlerinde bulunan CVE-2024-20674’tür.
Bu, Microsoft’un kimliğe bürünme saldırısına izin verdiğini söylediği ve CVSS puanı 9,0 olan bir Kerberos güvenlik özelliği bypass’ıdır.
“Kimliği doğrulanmamış bir saldırgan, ortadaki makine (MITM) saldırısı veya başka bir yerel ağ sahtekarlığı tekniği oluşturarak bu güvenlik açığından yararlanabilir, ardından kendisini Kerberos kimlik doğrulama sunucusu olarak taklit etmek için istemci kurbanın makinesine kötü amaçlı bir Kerberos mesajı göndererek bu güvenlik açığından yararlanabilir.” tavsiye açıkladı.
CVE-2024-20700 de CVSS puanı 7,5 olmasına rağmen Microsoft tarafından kritik olarak tanımlanıyor.
Windows Hyper-V’deki uzaktan kod yürütme güvenlik açığıdır.
Microsoft’un tavsiyesine göre, bu güvenlik açığından yararlanmak zor olacaktır: Saldırganın hipervizörü açığa çıkaran sınırlı ağa erişmesi ve ardından “bir yarış koşulu kazanması” gerekecektir.
Hata, Windows 10, Windows 11, Microsoft Server 2019 ve Server 2022’de çeşitli yapı ve mimarilerde mevcuttur.
Yamaların tam listesi burada.