Haziran 2024 Yaması Salı geldi ve Microsoft, kritik bir MSMQ kusuru (CVE-2024-30080) ve Microsoft Outlook’taki bir RCE güvenlik açığı (CVE-2024-30103) için düzeltmeler sağladı.
Toplamda 49 CVE numaralı güvenlik açığı düzeltildi ve bunların hiçbiri sıfır gün olarak istismar edilmedi.
CVE-2024-30080 ve CVE-2024-30103 hakkında
CVE-2024-30080 Microsoft Messenger Queuing’i (MSMQ) etkileyen serbest bir kusurdan sonra kullanılır ve kimliği doğrulanmamış saldırganlar tarafından özel hazırlanmış kötü amaçlı bir MSMQ paketinin bir MSMQ sunucusuna gönderilmesi yoluyla kullanılabilir. Başarılı bir şekilde kullanılması, uzaktan kod yürütülmesine (RCE) olanak tanıyacaktır.
Bu güvenlik açığından yalnızca Windows mesaj sıralama hizmetinin etkin olduğu Windows ve Windows Server kurulumlarında yararlanılabilse de, diğer yararlanma gereksinimlerinin (örn. önceki kimlik doğrulama, kullanıcı etkileşimi) bulunmaması, kısmen Microsoft’un bu kusurdan saldırganlar tarafından yararlanılmasının riskli olduğunu söylemesine yol açmıştır. “büyük olasılıkla”. Bu yüzden hızlı bir şekilde yama yapın veya savunmasız hizmeti devre dışı bırakın (gerekmiyorsa).
CVE-2024-30103RCE’ye de yol açabilen bir Microsoft Outlook güvenlik açığı da er ya da geç düzeltilmelidir.
Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, Outlook kayıt defteri engelleme listelerini atlayabilir ve kötü amaçlı DLL dosyalarının oluşturulmasını sağlayabilir” diyor.
Trend Micro’nun Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs, “Açıkça belirtilmese de, saldırganlar büyük olasılıkla kötü amaçlı DLL dosyalarını kullanarak daha fazla tehlikeye atacak bir tür DLL ele geçirme işlemi gerçekleştirecektir” dedi.
“Burada iyi haber şu ki, saldırganın bu saldırıyı gerçekleştirmek için geçerli Exchange kimlik bilgilerine ihtiyacı olacak. Kötü haber şu ki, istismar Önizleme Bölmesinde meydana gelebilir. Kimlik bilgilerinin yer altı forumlarında ne sıklıkla satıldığını göz önüne alırsak, bu düzeltmeyi göz ardı etmem.”
Güvenlik açığı, Morphisec araştırmacıları Michael Gorelik ve Shmuel Uzan tarafından keşfedildi ve güvenlik açığının özellikle Microsoft Outlook’un otomatik e-posta açma özelliğini kullanan hesaplar için tehlikeli olduğunu, çünkü etkilenen bir e-posta açıldığında yürütmenin başlatıldığını belirtti.
Teknik ayrıntıları ve PoC istismarını ağustos ayı başlarında DEFCON 32 konferansında yayınlamayı planlıyorlar.
Dikkat edilmesi gereken diğer güvenlik açıkları
CVE-2024-30078 Windows Wi-Fi sürücüsünü etkileyen bir RCE hatasıdır.
“Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın, hedefe özel hazırlanmış bir ağ paketi göndererek etkilenen sistemde kod yürütmesine olanak tanır. Açıkçası, hedefin saldırganın Wi-Fi kapsama alanında olması ve bir Wi-Fi bağdaştırıcısı kullanması gerekiyor, ancak tek kısıtlama bu” diye açıkladı Childs ve hatanın “muhtemelen saldırganların ve saldırganların çok fazla dikkatini çekeceğini” söyledi. kırmızı takımlar birbirine benzer.
Automox’un CISO’su ve Üründen Sorumlu Kıdemli Başkan Yardımcısı Jason Kikta, Help Net Security’ye bu güvenlik açığının özellikle endişe verici olduğunu çünkü saldırganların fiziksel erişim olmadan hedefin sistemi üzerinde kontrol sahibi olmasına olanak sağladığını söyledi.
“Doğası göz önüne alındığında, bu güvenlik açığı oteller, ticari fuarlar veya çok sayıda cihazın WiFi ağlarına bağlandığı herhangi bir yer dahil olmak üzere uç nokta yoğun ortamlarda önemli bir risk oluşturuyor” dedi.
CVE-2024-30072, kötü amaçlı bir Microsoft Olay İzleme Günlüğü dosyasının açılmasıyla tetiklenebilecek başka bir ilginç RCE güvenlik açığıdır.
Kıdemli AppSec mühendisi Henry Smith, “BT ekiplerinin kullanıcı sistemlerinde hata ayıklamak için Olay İzleme Günlüğü dosyalarını kullanmasının yaygınlığı ve genellikle BT destek rolleriyle ilişkilendirilen yüksek ayrıcalıklar göz önüne alındığında, bu güvenlik açığından yararlanılması, saldırganlara hassas sistemlere önemli erişim sağlayabilir” dedi. Automox.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, Microsoft Streaming Service’teki ayrıcalık yükselmesi kusuru olan CVE-2024-30089’u hızlı bir düzeltmeye değer olarak seçti.
Kendisi, Microsoft’un bu güvenlik açığını “Kullanım Olasılığı Daha Yüksek” olarak etiketlediğini ve Eylül 2023 Yaması’nda yamalı bir başka Microsoft Streaming Service ayrıcalık yükseltme kusuru olan CVE-2023-36802’yi açıklayan aynı güvenlik araştırmacısı tarafından Microsoft’a açıklandığını belirtti. Salı (ve vahşi doğada saldırganlar tarafından istismar edilmişti).