Microsoft Eylül 2024 Salı Yaması, dört aktif olarak istismar edilen sıfır gün de dahil olmak üzere 79 güvenlik açığını ele alıyor. Windows Installer, MoTW, Publisher ve Windows Update’teki kritik kusurları kapsıyor.
Microsoft’un Eylül 2024 Salı Yaması, dört aktif olarak istismar edilen kusur ve bir kamuya açık sıfırıncı gün dahil olmak üzere toplam 79 güvenlik açığını ele alan kritik güncellemelerle dolu. Bu güvenlik açıklarından yedisi kritik olarak derecelendirildi ve bunların çoğu uzaktan kod yürütme (RCE) veya ayrıcalık yükseltme (EoP) kusurlarıydı.
Kritik Güvenlik Açıklarını Vurgulama
1. Aktif Olarak Kullanılan Güvenlik Açıkları:
En acil güncellemeler arasında kötü niyetli aktörler tarafından etkin bir şekilde istismar edilen dört güvenlik açığı vardı. Bu güvenlik açıkları, yamalar henüz uygulanmamış kullanıcılar ve kuruluşlar için büyük bir risk oluşturuyor çünkü yamalar kullanıma sunulmadan önce gerçek dünya saldırılarında kullanılıyorlardı.
CVE-2024-38217 – Windows Mark of the Web (MoTW) Güvenlik Özelliği Baypas Güvenlik Açığı:
Bu kritik güvenlik açığı, saldırganların kullanıcıları güvenilmeyen kaynaklardan gelen dosyaları açmaktan korumayı amaçlayan güvenlik uyarılarını atlatmalarına olanak tanır. Saldırganlar, kullanıcıları standart MoTW istemlerini tetiklemeden kötü amaçlı dosyaları yürütmeye kandırmak için bu güvenlik özelliklerini manipüle edebilir. Bu güvenlik açığı daha önce fidye yazılımı saldırılarıyla ilişkilendirilmişti ve bu da onu yüksek öncelikli bir düzeltme haline getiriyor.
CVE-2024-43461 – Windows MSHTML Platform Sahtekarlığı Güvenlik Açığı:
Bu güvenlik açığı, saldırganların kimlik avı saldırıları ve yetkisiz veri hırsızlığı için kullanılabilecek meşru web içeriğini taklit etmelerine olanak tanır. Bu kusur, sıfırıncı gün saldırılarında gelişmiş kalıcı tehdit (APT) grupları tarafından kullanılan CVE-2024-38112 ile benzerlikler taşır. İlgili güvenlik açıklarının etkin bir şekilde istismar edilmesi göz önüne alındığında, CVE-2024-43461’in gelecekteki saldırılarda kullanılma olasılığı yüksektir.
2. Sıfır Gün Güvenlik Açıkları:
CVE-2024-43491 — Windows Update’te Uzaktan Kod Yürütme:
Bu kritik güvenlik açığı, saldırganların Windows Update sürecindeki zayıflıkları kullanarak uzaktan kod yürütmesine ve etkilenen sistemlerin kontrolünü ele geçirmesine olanak tanıyabilir.
CVE-2024-38014 — Windows Yükleyicide Ayrıcalık Yükseltmesi:
Bu güvenlik açığı, saldırganların Windows Installer’daki kusurlardan yararlanarak yüksek ayrıcalıklar elde etmelerine ve tehlikeye atılmış sistemlere yönetici düzeyinde erişim sağlamalarına olanak tanıyor.
CVE-2024-38217 — Windows Mark of the Web (MoTW) Baypas Güvenlik Açığı:
Saldırganlar, internetten indirilen zararlı dosyalar hakkında kullanıcıları uyarmak için tasarlanan MoTW’nin güvenlik mekanizmalarını aşarak yetkisiz kod yürütülmesine yol açabilir.
CVE-2024-38226 — Microsoft Publisher Güvenlik Atlatma:
Bu açık, saldırganların Microsoft Publisher’daki güvenlik özelliklerini suistimal etmelerine ve standart dosya korumalarını aşarak kötü amaçlı kod yürütmelerine olanak tanıyor.
Kritik Güvenlik Açıkları Düzeltildi
Yedi güvenlik açığı kritik olarak işaretlendi, bunlar öncelikli olarak uzaktan kod yürütme (RCE) veya ayrıcalık yükseltmeyi içeriyor. Bu güvenlik açıkları şunları içerir:
- CVE-2024-43455 – Saldırganların tehlikeye atılmış bir sistemde uzaktan kod yürütmesine ve makinenin tam kontrolünü ele geçirmesine olanak tanıyabilen Windows Uzak Masaüstü Protokolü (RDP) RCE güvenlik açığı.
- CVE-2024-43456 – Saldırganların hedeflenen sistemde ayrıcalıklarını artırmalarına ve yönetici hakları elde etmelerine olanak tanıyan Windows Kernel EoP güvenlik açığı.
- CVE-2024-43469 – Azure CycleCloud’da saldırganların sınırlı ayrıcalıklarla keyfi kod yürütmesine olanak tanıyan yüksek öneme sahip uzaktan kod yürütme güvenlik açığı. 8,8 CVSS puanına sahip olduğundan, istismarı önlemek için yama uygulamak kritik öneme sahiptir
Öneriler ve Azaltma
Bu güvenlik açıklarının birçoğunun, özellikle de aktif olarak istismar edilen ve kamuoyuna açıklanan kusurların kritik niteliği göz önüne alındığında, Microsoft kuruluşların yama dağıtımına öncelik vermelerini şiddetle öneriyor.
Yama Yönetimi: İşletmeler, CVE-2024-38217 ve CVE-2024-43461 gibi güvenlik açıklarıyla ilişkili riskleri azaltmak için yama yönetimi süreçlerini hızlandırmalıdır. Bu kusurlar vahşi doğada aktif olarak istismar ediliyor ve yama uygulanmamış sistemler için önemli riskler oluşturuyor.
Kullanıcı Eğitimi: Teknik korumanın ötesinde, kullanıcıların güvenilmeyen dosyalar ve web siteleriyle etkileşime girmenin tehlikeleri konusunda bilinçlendirilmesi gerekir. Bu, daha önce tartışılan MoTW ve sahtecilik güvenlik açıklarını azaltmada önemlidir.
Güvenlik açıklarının tam listesi ve azaltma stratejilerine ilişkin kılavuz, Microsoft’un resmi Eylül 2024 Salı Yaması güncellemesinde bulunabilir.
Uzman Yorumu:
Qualys Tehdit Araştırmaları Birimi’nde Güvenlik Açığı Araştırmaları Yöneticisi olan Saeed Abbasi, Microsoft’un Eylül 2024 Yaması Salı günü yaptığı açıklamada, olası riskleri azaltmak için güncellemelerin derhal uygulanmasının önemini vurguladı.
Saeed, “CVE-2024-38217 güvenlik açığı, saldırganların genellikle kullanıcıları bilinmeyen veya güvenilmeyen kaynaklardan gelen dosyaları açmanın riskleri konusunda bilgilendiren güvenlik uyarılarını manipüle etmesine olanak tanıyor ve benzer MoTW atlamaları tarihsel olarak risklerin yüksek olduğu fidye yazılımı saldırılarıyla ilişkilendirilmiştir” uyarısında bulundu.
“Saldırının kamuya açıklanması ve doğrulanmış istismarı göz önüne alındığında, siber suçluların kurumsal ağlara sızması için birincil bir vektördür. İşletmeler, yama yönetimine öncelik vermeli ve kullanıcıları bu tür güvenlik açıklarının istismarını azaltmak için güvenilir olmayan kaynaklardan dosya indirmenin riskleri konusunda eğitmelidir.”
“CVE-2024-43461 güvenlik açığı, benzer saldırı vektörleri nedeniyle istismarın CVE-2024-43461’e karşı yeniden kullanılabileceği CVE-2024-38112’nin kalıplarını yansıtıyor. Bu güvenlik açığı saldırganların meşru web içeriğini taklit etmesine ve kimlik avı ve veri hırsızlığı gibi yetkisiz eylemlere yol açmasına olanak tanıdığından istismar olasılığı yüksektir,” diye ekledi.
“Bu risk, benzer güvenlik açıklarının vahşi doğada aktif olarak istismar edildiği ve kurumsal ağlar için önemli güvenlik zorlukları oluşturduğu geçmiş olaylarla vurgulanıyor. Bu güvenlik açığının kritik doğası göz önüne alındığında, olası etkileri azaltmak için yama yönetimi süreçlerini hızlandırmanızı öneririz,” diye tavsiyede bulundu Saeed.
İLGİLİ KONULAR
- Mailcow, XSS ve Dosya Üzerine Yazma Kusurlarını Düzeltiyor – ŞİMDİ Güncelleyin
- Google, Araştırmacıların Uyarısının Ardından Hızlı Paylaşımdaki Kusurları Düzeltti
- Broadcom: Ciddi VMware vCenter Server Kusurları İçin Acil Yama
- TellYouThePass Fidye Yazılımı Kritik PHP Açığını Kullanıyor, Yama ŞİMDİ
- ŞİMDİ YAMA! Veeam Kusuru Binlerce Yedekleme Sunucusunu Tehlikeye Atıyor