Microsoft, Temmuz 2024 Salı Yaması için Windows Hyper-V ve Windows MSHTML Platformunda (sırasıyla) iki istismar edilen sıfır gün açığı (CVE-2024-38080, CVE-2024-38112) dahil olmak üzere 142 CVE’yi düzelten güvenlik güncelleştirmeleri ve yamaları yayımladı.
Vahşi doğada istismar edilen sıfır günler (CVE-2024-38080, CVE-2024-38112)
CVE-2024-38080, Windows ve Windows Server çalıştıran sistemlerde sanal makineler oluşturmak için Windows’un yerel hipervizörü olan Hyper-V’yi etkileyen bir tamsayı taşması veya sarmalama hatasıdır. Microsoft’a göre başarılı bir istismar, saldırganların ana makinede SYSTEM ayrıcalıkları elde etmesine izin verebilir, ancak açığı istismar etmek için başlangıçta yerel erişim gerekir.
Trend Micro’nun Zero Day Girişimi’nde tehdit farkındalığı başkanı olan Dustin Childs, bu güncellemenin Hyper-V çalıştıran sistemlerde hızla test edilmesini ve dağıtılmasını öneriyor. “Microsoft tarafından özel olarak belirtilmemiş olsa da, en kötü senaryoyu varsayalım ve yetkili bir kullanıcının konuk işletim sisteminde olabileceğini varsayalım. Microsoft ayrıca istismarın ne kadar yaygın olduğunu da belirtmiyor, ancak bu istismar fidye yazılımları için oldukça yararlı olacaktır.”
CVE-2024-38112, özel olarak hazırlanmış bir HTML dosyasıyla tetiklenebilen Windows MSHTML Platformunda bir sahtecilik güvenlik açığıdır.
Action1’in Güvenlik Açığı ve Tehdit Araştırmaları Başkan Yardımcısı Mike Walters, “Bu güvenlik açığı, Internet Explorer ve diğer uygulamalarda gömülü web tarayıcısı denetimleri aracılığıyla web içeriğinin oluşturulması için çok önemli olan MSHTML (Trident) oluşturma motorunda bulunuyor” şeklinde açıklama yaptı.
“Birincil kusur, kullanıcıların kötü amaçlı içeriğin güvenilir bir kaynaktan geldiğine inanmasına neden olabilecek kaynakların yetersiz kullanımı ve ifşasından kaynaklanmaktadır. Bu, kaynak erişim kısıtlamalarının yetersiz doğrulanması ve uygulanmasından kaynaklanmaktadır ve bu da MSHTML kitaplığında yetkisiz ifşaya yol açmaktadır. Saldırganlar, kötü amaçlı ekler veya sahte web sitelerine yönlendiren bağlantılar içeren e-postalar göndererek kimlik avı taktikleri kullanabilirler. Etkileşim üzerine, kötü amaçlı içerik güvenilir bir bağlamda sunulabilir ve kullanıcıları oturum açma kimlik bilgileri gibi hassas bilgileri ifşa etmeye veya kötü amaçlı yazılım yüklemeye yönlendirebilir.”
Dikkat edilmesi gereken diğer güvenlik açıkları
Bu ay düzeltilen iki CVE, yamaların yayınlanmasından önce kamuoyuna açıklandı: .NET ve Visual Studio’da uzaktan kod yürütme hatası olan CVE-2024-35264 ve ARM64 tabanlı sistemlerde Windows 11’i etkileyen bilgi ifşa hatası olan CVE-2024-37985.
Düzeltilen kritik güvenlik açıkları arasında Windows Uzak Masaüstü Lisanslama Hizmetini etkileyen üç (CVE-2024-38074, CVE-2024-38076, CVE-2024-38077) bulunmaktadır. Microsoft, “Bir saldırgan, Uzak Masaüstü Lisanslama sunucusu olarak kurulan bir sunucuya özel olarak hazırlanmış bir paket gönderebilir ve bu da uzaktan kod yürütülmesine neden olur” diyor.
Yamalar mevcuttur, ancak gerekmediği takdirde hizmeti devre dışı bırakarak istismar riski geçici olarak düşürülebilir.
Childs, “Bunun istismarı basit olmalı, çünkü kimliği doğrulanmamış herhangi bir kullanıcı, etkilenen sunucuya kötü amaçlı bir mesaj göndererek kodunu çalıştırabilir” dedi.
“Bu sunucuların birçoğu İnternet’e bağlıysa, yakında istismar edilmesini beklerim. Ayrıca, gereksiz hizmetler çalıştırmadıklarından emin olmak için sunucularınızı denetlemek için de iyi bir zaman.”
Automox’ta BT Güvenliği Direktörü olan Tom Bowyer, okul bölgelerinin, hükümet altyapısının ve SLED tipi Windows ortamlarının Uzak Masaüstü hizmetlerinin yaygın kullanımı nedeniyle özellikle savunmasız olduğunu söylüyor. “Bu sistemlerin derhal yamalanmasının sağlanması, kritik operasyonları aksatabilecek olası saldırılara karşı korunmaya yardımcı olacaktır.”
Microsoft ayrıca, ilk erişim sağlandıktan sonra yanal hareket için kullanılabilecek birçok güvenlik açığını da düzeltti:
- SQL Server Yerel İstemci OLE DB’deki 38 CVE, kimliği doğrulanmış bir kullanıcının bir bağlantı sürücüsü aracılığıyla kötü amaçlı bir SQL sunucusu veritabanına bağlanmaya kandırılması durumunda RCE’ye izin verir
- CVE-2024-38060, kimliği doğrulanmış bir saldırganın etkilenen bir sisteme özel hazırlanmış bir TIFF görüntüsü yükleyerek RCE elde etmesine olanak tanıyabilecek bir Microsoft Windows Codecs Kitaplığı hatasıdır.