Ağustos 2024 Salı Yaması geldi ve Microsoft 90 güvenlik açığı için düzeltmeler yayınladı; bunlardan altısı sıfır gün olarak yaygın olarak kullanıldı ve dördü kamuoyu tarafından biliniyor.
Sıfır günler saldırı altında
CVE-2024-38178 uzaktan kod yürütülmesine yol açabilecek bir Scripting Engine Bellek Bozulması Güvenlik Açığıdır. AhnLab ve Güney Kore Ulusal Siber Güvenlik Merkezi (NCSC) tarafından bildirilen bu açık, yalnızca hedef Internet Explorer Modunda Microsoft Edge kullanıyorsa başarıyla kullanılabilir.
Microsoft, bu saldırının, kimliği doğrulanmış bir istemcinin (kullanıcının), kimliği doğrulanmamış bir saldırganın uzaktan kod yürütmesini başlatması için özel olarak hazırlanmış bir URL’ye tıklamasını gerektirdiğini söylüyor.
“Sırasında [Microsoft Edge in Internet Explorer Mode] Immersive Labs’da Siber Tehdit Araştırmaları Kıdemli Direktörü Kevin Breen, “Çoğu kullanıcı için varsayılan mod olmasa da, bu açığın etkin bir şekilde kullanılması, saldırganın bunu ayarlayabildiği veya bu yapılandırmaya sahip bir kuruluş (veya kullanıcı) tespit ettiği durumlar olduğunu gösteriyor” diyor.
CVE-2024-38106 saldırganların SYSTEM ayrıcalıkları elde etmek için istismar edebileceği Windows Kernel’deki bir hatadır. Bu güvenlik açığından faydalanmak için saldırganın bir yarış koşulunu kazanması gerekir – önemsiz olmayan bir çaba – ancak Trend Micro’nun Zero Day Girişimi’nde tehdit farkındalığı başkanı Dustin Childs’ın belirttiği gibi, bazı yarışlar diğerlerinden daha kolay koşulabilir.
“CVSS’nin yanıltıcı olabileceği zamanlar böyle zamanlar. Yarış koşulları CVSS puanında yüksek karmaşıklığa yol açar, ancak vahşi doğadaki saldırılarla bu hatanın kolayca istismar edilebileceği açıktır,” diye ekledi.
CVE-2024-38107 ayrıcalık yükseltmeye izin veren başka bir hatadır ve Windows aygıtlarının “uyku” modundan anında uyanmasına yardımcı olan Windows Güç Bağımlılığı Koordinatörü’nde bulunur. İstismar vektörü “yerel”dir, bu nedenle bir saldırgan hedef sisteme yerel olarak erişebilir veya kullanıcıyı gerekli eylemleri gerçekleştirmesi için kandırabilir. Ne yazık ki Microsoft, vahşi istismar hakkında daha fazla ayrıntı sunmuyor.
CVE-2024-38193WinSock için Windows Yardımcı İşlev Sürücüsü’nde bulunan, ayrıcalık artışına da yol açabilir ve yalnızca “yerel” olarak kullanılabilir. Tekrar, Microsoft herhangi bir özel ayrıntı sunmuyor, ancak muhabirlerin kimliği – Gen Digital’den (yani, yan kuruluşu Avast’tan) Luigino Camastra ve Martin a Milánek – saldırının amacına işaret ediyor olabilir: SYSTEM ayrıcalıklarıyla kötü amaçlı yazılım yürütme.
CVE-2024-38213 saldırganların, güvenilmeyen konumlardan (örneğin internet) indirilen dosyalara eklenen bir Windows Mark of the Web “bayrağı” tarafından tetiklenen Windows SmartScreen’i atlamasına olanak tanır. Microsoft, “Bir saldırganın kullanıcıya kötü amaçlı bir dosya göndermesi ve onu açmaya ikna etmesi gerekir” diyor ve bu açıkça vahşi doğada gerçekleşiyor.
Breen, “Bu güvenlik açığı kendi başına istismar edilebilir değil ve genellikle bir istismar zincirinin parçası olarak görülüyor; örneğin, kötü amaçlı bir belgenin veya exe dosyasının e-posta yoluyla gönderilmeden veya tehlikeye atılmış web sitelerinde dağıtılmadan önce bu baypası içerecek şekilde değiştirilmesi,” diyor.
Bu hatayı tespit eden Trend Micro araştırmacısı Peter Girnus’un, perşembe günü hata hakkında ve muhtemelen bu hatayı istismar eden saldırılar hakkında daha fazla bilgi vermesi bekleniyor.
Nihayet, CVE-2024-38189 Microsoft Project’te, Office dosyalarında İnternet üzerinden makroların çalışmasını engelle politikasının devre dışı bırakıldığı ve VBA Makro Bildirim Ayarlarının etkinleştirilmediği bir sistemde, hedeflerin özel olarak hazırlanmış bir Proje dosyasını açmaya kandırılmasıyla tetiklenebilen bir güvenlik açığıdır.
Microsoft, bu güvenlik açığının saldırganların ana bilgisayarda uzaktan kod yürütmesine olanak verebileceği konusunda uyarıyor.
“Project’te bir kod yürütme hatası görmek kesinlikle tuhaf, ancak burada sadece bir tane yok, aynı zamanda vahşi doğada istismar ediliyor. Çoğunlukla, bu tipik bir açık ve sahip olunan hatadır, ancak bu durumda hedef, makroların internetten çalıştırılmasına izin veriyor,” diye yorumladı Childs.
Breen, “Bu, tehdit aktörlerinin silahlandırılmış belgelerine isim verip insan sosyal davranışlarıyla oynayarak dosyayı açmalarını sosyal olarak sağlayacakları birçok yaygın kimlik avı saldırısından farklı değil. Örnekler arasında sahte faturalar, dahili maaş belgeleri ve hatta daha hedefli saldırılarda bireyler için tematik yemler yer alıyor,” diye belirtti.
Kamuoyunun bildiği güvenlik açıkları
CVE-2024-38200PrivSec Consulting’den Jim Rush ve Synack’in Red Team ekibinden Metin Yunus Kandemir tarafından ortaya çıkarılan, Microsoft Office’i etkileyen bir sahtecilik açığı, saldırganların hedefin NTLM karma değerini ele geçirip iletmesine olanak tanıyabilir.
Microsoft tarafından halihazırda alternatif bir çözüm sunuldu ancak kullanıcıların bugün yayınlanan son çözümü uygulamaları öneriliyor.
CVE-2024-21302Windows Güvenli Çekirdek Modu’ndaki bir EoP açığı ve CVE-2024-38202Windows Update Stack’teki bir EoP olan , SafeBreach araştırmacısı Alon Leviev tarafından geçen hafta Black Hat’te ortaya çıkarıldı.
Bunlar gizli bir düşürme saldırısı için kullanılabilir ve daha önce azaltılmış güvenlik açıklarını tekrar ortaya çıkararak savunmasız Windows bilgisayarını daha da savunmasız hale getirebilir.
CVE-2024-38199 Windows Line Printer Daemon (LPD) Hizmetinde, kimliği doğrulanmamış bir saldırganın ağ üzerinden paylaşılan, güvenlik açığı bulunan bir Windows Line Printer Daemon (LPD) hizmetine özel olarak hazırlanmış bir yazdırma görevi göndermesiyle istismar edilebilecek bir kullanım sonrası serbest bırakma açığıdır.
Microsoft, “Başarılı bir istismar sunucuda uzaktan kod yürütülmesine yol açabilir” diyor ancak iyi haber şu ki LDP 10 yıldan uzun süredir kullanım dışı ve – daha da önemlisi – varsayılan olarak sistemlere kurulu veya etkin değil. Yine de, LPD çalıştırıyorsanız, bunu kesinlikle Kritik bir güncelleme olarak ele alın, diye tavsiyede bulundu Childs.
Saldırganların Windows SmartScreen ve Smart App Control’ü atlatmak için yıllardır kullandıkları Mark of the Web açığı bu kez düzeltilmedi.
Özetle, müşterilerden herhangi bir işlem gerektirmeyen birkaç kritik güvenlik açığının giderildiğini belirtelim.
Bu grup, Tenable araştırmacıları tarafından keşfedilen iki sunucu tarafı istek sahteciliği (SSRF) açığını içerir, biri (CVE-2024-38206) Microsoft’un Copilot Studio’sunda (yapay zeka destekli bir sohbet robotu) bilgi ifşasına yol açabilecek bir özellik ve diğeri (CVE-2024-38109) Azure Health Bot’u etkiler ve bu durum ayrıcalıkları artırmak ve kiracılar arası kaynaklara erişmek için kötüye kullanılabilir.