Aralık 2024 Yaması Salı günü Microsoft, daha yüksek ayrıcalıklara sahip kod yürütmek için saldırganlar tarafından istismar edilen sıfır gün (CVE-2024-49138) dahil olmak üzere çeşitli ürünlerindeki 71 güvenlik açığını giderdi.
Saldırganlar tarafından istismar edilen CVE-2024-49138
CVE-2024-49138 Microsoft’a göre, Windows Ortak Günlük Dosya Sistemi (CLFS) Sürücüsündeki yığın tabanlı arabellek taşması güvenlik açığından kaynaklanıyor ve saldırganlar tarafından hedef ana bilgisayardaki ayrıcalıklarını SİSTEM’e yükseltmek için kullanılabilir.
Saldırı vektörü yereldir; bu, saldırganların hedef sisteme yerel olarak (klavye veya konsol yoluyla) veya uzaktan (örneğin, SSH aracılığıyla) erişerek bu vektörden yararlanabileceği anlamına gelir. Alternatif olarak meşru kullanıcıları, istismarı tetikleyen bir eylem (örneğin, kötü amaçlı bir belgeyi açmak) gerçekleştirmeleri için kandırabilirler.
CrowdStrike’ın Gelişmiş Araştırma Ekibi tarafından Microsoft’a bildirilen güvenlik açığından saldırganlar yararlandı.
“Her ne kadar yaygın kullanım ayrıntıları henüz bilinmese de, CLFS sürücüsündeki güvenlik açıklarının geçmişine baktığımızda, fidye yazılımı operatörlerinin son birkaç yılda CLFS ayrıcalık yükseltme kusurlarından yararlanmaya yönelik bir eğilim geliştirdiklerini görmek ilginçtir. ” Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, Help Net Security’ye söyledi.
“Bu bir ayrıcalık yükseltmesi olduğundan, bir sistemi ele geçirmek için muhtemelen bir kod yürütme hatasıyla eşleştiriliyor. Bu taktikler genellikle fidye yazılımı saldırılarında ve hedefli kimlik avı kampanyalarında görülür,” diye belirtti Trend Micro’nun Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs.
Microsoft, bu Salı günü Windows Ortak Günlük Dosya Sistemi Sürücüsünde iki ayrıcalık yükseltme kusuru daha yamaladı, ancak bunlar aktif olarak istismar edilmiyor (her ne kadar istismar edilmeleri “daha olası” olsa da, onları da yamalayın).
Hızlı bir şekilde yama yapılabilecek diğer güvenlik açıkları
Childs ayrıca kullanıcıları hızlı bir şekilde yama yapmaya teşvik ediyor CVE-2024-49112Windows Basit Dizin Erişim Protokolü’nde (LDAP), uzaktan, kimliği doğrulanmamış saldırganların özel hazırlanmış bir dizi LDAP çağrısı göndererek yararlanabileceği bir güvenlik açığı.
Immersive Labs Baş Güvenlik Mühendisi Rob Reeves, Help Net Security’ye şunları söyledi: “LDAP en yaygın olarak Windows ağındaki Etki Alanı Denetleyicileri olan sunucularda görülür ve etki alanının çalışabilmesi için LDAP’nin kurumsal ortamdaki diğer sunuculara ve istemcilere açık olması gerekir.” .
“Microsoft şu anda güvenlik açığı hakkında belirli bir bilgi yayınlamadı ancak saldırı karmaşıklığının düşük olduğunu ve kimlik doğrulamasının gerekli olmadığını belirtti.”
Azaltıcı bir önlem olarak (güncellemenin uygulanmasının imkansız olması durumunda) Microsoft, kuruluşlara Etki Alanı Denetleyicilerini internete erişmeyecek veya güvenilmeyen ağlardan gelen RPC bağlantılarına izin vermeyecek şekilde yapılandırmalarını önerir.
İstismar edilme olasılığı “daha yüksek” olan güvenlik açıkları arasında şunlar yer almaktadır: CVE-2024-49114bir Windows Cloud Files Mini Filtre Sürücüsü EoP kusuru ve CVE-2024-49093Windows Esnek Dosya Sistemindeki bir EoP güvenlik açığı.
“Yama notları [for CVE-2024-49114] Aynı bileşende rapor edilen ve aktif olarak istismar edilen ve 2023’ün sonlarında CISA Bilinen İstismar Edilen Güvenlik Açıkları listesinde yer alan diğer güvenlik açıklarıyla çarpıcı benzerlikler taşıyor” yorumunu yapan Breen, mevcut genel örneklerle kanıtlanmış ve etkili bir güvenlik açığının, saldırganların Bu güvenlik açığını daha hızlı silahlandırın.