Şubat 2024 Yaması Salı günü Microsoft, ortadaki saldırganlar tarafından kullanılan iki sıfır gün (CVE-2024-21412, CVE-2024-21351) dahil olmak üzere 72 CVE numaralı güvenlik açığı için düzeltmeler sundu.
CVE-2024-21412 ve CVE-2024-21351 hakkında
CVE-2024-21412 Saldırganların Microsoft Defender SmartScreen güvenlik özelliğini bubi tuzaklı İnternet Kısayolu dosyalarıyla atlamalarına olanak tanır.
Aralık 2023’ün sonlarında, Trend Micro araştırmacısı Peter Girnus ve ZDI Tehdit Avcılığı ekibindeki meslektaşları, Water Hydra APT’nin kurbanlara DarkMe kötü amaçlı yazılım bulaştırmak için bu kusurdan yararlandığını keşfetti.
(Google’ın Tehdit Analizi Grubu’ndan iki kişi de dahil olmak üzere diğer birkaç araştırmacı da aynı güvenlik açığını Microsoft’a bildirdi.)
“Water Hydra, potansiyel tüccarları kendilerine DarkMe kötü amaçlı yazılım bulaştırmaya ikna etmek için forex ticaret forumlarında ve hisse senedi ticareti Telegram kanallarında bir hedef odaklı kimlik avı kampanyası başlattı. grafik teknik analizi, grafik gösterge araçları etrafında; bunların hepsine, güvenliği ihlal edilmiş bir Rus ticaret ve kripto para birimi bilgi sitesinden (fxbulls) sunulan bir truva atı hisse senedi grafiğine işaret eden bir URL eşlik ediyordu.[.]ru),” Trend Micro araştırmacıları paylaştı.
Kötü amaçlı bir internet kısayol dosyasını barındıran WebDAV paylaşımına geri bağlanan JPEG dosyası. (Kaynak: Trend Micro Sıfır Gün Girişimi)
Kısacası, kurbanlar, fotoğraf olduğuna inandıkları bir dosyayı (.jpeg dosyası) indirmeleri için kandırıldılar, ancak aslında kötü amaçlı bir İnternet Kısayolu (.url) dosyasıydı; bu dosya, daha önceki bir güvenlik açığından yararlanma mantığını içeren başka bir İnternet kısayolu dosyasına işaret ediyordu. Microsoft Defender SmartScreen atlama güvenlik açığı (CVE-2023-36025) yamalı.
Araştırmacılar daha ileri testler için bir kavram kanıtı (PoC) oluşturdular ve ilk kısayolun CVE-2023-36025 yamasını atladığını ve SmartScreen korumalarından kaçtığını keşfettiler, bu da “Web İşaretini düzgün bir şekilde uygulayamadı ( MotW), güvenilmeyen bir kaynaktan dosya açarken veya çalıştırırken kullanıcıları uyaran kritik bir Windows bileşenidir.”
CVE-2024-21351 Bu, potansiyel kurbanları bubi tuzaklı bir dosyayı açmaya ikna ettikten sonra kötü amaçlı yazılım dağıtmak için benzer şekilde kullanılabilen Windows SmartScreen güvenlik özelliğinin atlanmasıdır.
Microsoft, “Güvenlik açığı, kötü niyetli bir aktörün SmartScreen’e kod enjekte etmesine ve potansiyel olarak kod yürütme elde etmesine olanak tanıyor; bu da potansiyel olarak bazı verilerin açığa çıkmasına, sistem kullanılabilirliğinin olmamasına veya her ikisine birden yol açabilir” diye ekledi.
“Windows, güvenilmeyen bir konumdan gelen dosyaları ayırt etmek için Web İşareti’ni (MotW) kullanıyor. Windows Defender’daki SmartScreen geçişleri, saldırganların bu incelemeden kaçmasına ve arka planda kod çalıştırmasına olanak tanıyor,” diye belirtti Trend Micro Inc.’in Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs.
“Microsoft bu saldırıların ne kadar yaygın olabileceğini belirtmiyor ancak tehdit aktörleri bunu araç setlerine ekledikçe istismarların artmasını beklemelisiniz.”
CVE-2024-21412 ve CVE-2024-21351 yamaları hızlı bir şekilde test edilmeli ve uygulanmalıdır.
Dikkat edilmesi gereken diğer güvenlik açıkları
Çocuklar da öne çıktı CVE-2024-21410Microsoft Exchange Server’da hızlı bir yamaya değer bir ayrıcalık yükselmesi hatası, ancak güvenlik açığını tam olarak gidermek için ek yönetim eylemleri gerektiğinden yamanın kolay olmayacağını belirtti.
CVE-2024-21410’dan yararlanılması, hedeflenen kullanıcının NTLM kimlik bilgilerinin açığa çıkmasına neden olabilir; bu bilgiler, bir NTLM aktarımında veya karma geçiş saldırısında güvenlik açığı bulunan bir Exchange Sunucusuna geri gönderilebilir ve bu da saldırganın hedeflenen kullanıcı olarak kimlik doğrulaması yapmasına olanak tanır. kullanıcı, Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang diyor.
“NTLM karmaları gibi hassas bilgileri açığa çıkarabilecek kusurların saldırganlar için çok değerli olduğunu biliyoruz. Rusya merkezli bir tehdit aktörü, saldırıları gerçekleştirmek için benzer bir güvenlik açığından (CVE-2023-23397) yararlandı” diye ekledi.
Ve nihayet, var CVE-2024-21413Microsoft Office’i etkileyen, saldırganların Office Korumalı Görünümü atlamasına ve bir dosyayı (korumalı mod yerine) düzenleme modunda açmasına olanak tanıyan bir uzaktan kod yürütme güvenlik açığıdır.
Childs, “Bu yalnızca bir şekilde kod yürütülmesine izin vermekle kalmıyor, aynı zamanda Önizleme Bölmesinde de meydana gelebiliyor” dedi ve “Office 2016’nın 32 ve 64 bit sürümlerinin kullanıcılarının birden fazla güncelleme yüklemesi gerekeceğini” vurguladı. Bu güvenlik açığını tam olarak giderin.”