Saldırganlar, Microsoft’un Ağustos ayındaki güvenlik güncellemesinde açıkladığı 90 güvenlik açığından altısını aktif olarak kullanıyor ve bu açıkları bu Salı Yaması’nda yöneticiler için en önemli öncelik haline getiriyor.
Dört CVE daha Microsoft’un güncellemesinde 13 Ağustos ifşasından önce kamuoyuna açıklanmıştı ve bu da onları bir tür sıfır gün haline getiriyordu, saldırganlar henüz bunları istismar etmeye başlamamış olsalar bile. Bunlar arasında, Windows Update Stack’te ayrıcalık yükseltme (EoP) hatası, CVE-2024-38202, özellikle Microsoft’un henüz bu soruna yönelik bir yamasının olmaması endişe verici.
Yama uygulanmamış Zero-Day
Microsoft’a göre, yama uygulanmamış kusur, “temel kullanıcı ayrıcalıklarına sahip bir saldırganın daha önce azaltılmış güvenlik açıklarını yeniden başlatmasına veya Sanallaştırma Tabanlı Güvenlik’in (VBS) bazı özelliklerini atlatmasına” olanak tanır. Şirket, bir saldırganın devredilmiş izinlere sahip bir yöneticiyi veya kullanıcıyı sistem geri yüklemesi yapmaya kandırması gerekeceğinden, hatayı yalnızca orta düzeyde bir öneme sahip olarak değerlendirdi.
Ancak Tenable’da araştırma mühendisi olarak çalışan Scott Caveza, bir saldırganın CVE-2024-38202’yi CVE-2024-21302 (Windows Secure Kernel’i etkileyen mevcut güncellemedeki bir EoP hatası), ayrıcalıklı bir kullanıcıyla herhangi bir etkileşime gerek kalmadan yazılım güncellemelerini geri alabilirlerdi. “Microsoft’a göre CVE-2024-38202, ‘ayrıcalıklı bir kullanıcı tarafından ek etkileşim’ gerektirir,” diyor. “Ancak, CVE-2024-21302’nin zincirlenmesi, bir saldırganın yükseltilmiş ayrıcalıklara sahip bir kurbanla etkileşime gerek kalmadan yazılım sürümlerini düşürmesine veya geri almasına olanak tanır.”
Caveza, her bir güvenlik açığının ayrı ayrı istismar edilebileceğini ancak bir araya getirildiklerinde çok daha büyük bir etki yaratabileceklerini söylüyor.
Microsoft’un bu hafta açıkladığı hataların yedisi kritik olarak derecelendirildi. Şirket, saldırganların aktif olarak istismar ettiği sıfır günler de dahil olmak üzere 79 CVE’yi “Önemli” veya orta şiddette olarak derecelendirdi çünkü bunlar bir saldırganın istismar etmesi için bir miktar kullanıcı etkileşimi veya başka bir gereklilik içeriyor. Trend Micro’nun Zero Day Initiative (ZDI) tehdit farkındalığı başkanı Dustin Childs, “Bu en büyük sürüm olmasa da, tek bir sürümde bu kadar çok hatanın herkese açık veya aktif saldırı altında olarak listelenmesi alışılmadık bir durum” dedi. bir blog yazısında.
Etkin Saldırı Altında Sıfır Günler
Etkin saldırı altındaki güvenlik açıklarından ikisi, etkilenen sistemlerde uzaktan kod yürütmeyi (RCE) etkinleştirir. Bunlardan biri, CVE-2024-38189Microsoft Project Remote Code’u etkiler ve bu özelliği devre dışı bırakan kuruluşları etkiler VBA Makro Bildirim Ayarları sistemlerinde. Bu durumlarda, bir saldırgan bir kullanıcıyı kötü amaçlı bir Microsoft Office Project dosyasını açmaya ikna edebilirse uzaktan keyfi kod çalıştırabilir. Childs, “Project’te bir kod yürütme hatası görmek kesinlikle tuhaf, ancak burada sadece bir tane yok, aynı zamanda vahşi doğada istismar ediliyor,” dedi. “Çoğunlukla, bu tipik bir açık ve sahip olunan hatadır, ancak bu durumda, hedef makroların İnternet’ten çalıştırılmasına izin veriyor.”
Microsoft’un son güncellemesindeki diğer sıfır günlük RCE ise CVE-2024-38178, Windows Scripting Engine Belleği veya Script Host’unda bir bellek bozulması güvenlik açığı. “Bu güvenlik açığının başarılı bir şekilde istismarı, saldırganın önce hedefi Internet Explorer Modu’nda Edge kullanacak şekilde hazırlamasını gerektirir: Kullanıcının saldırı tarafından tehlikeye atılmak için özel olarak hazırlanmış bir URL’ye tıklaması gerekir,” dedi Microsoft.
Immersive Labs’da tehdit araştırmaları kıdemli direktörü olan Kev Breen, IE’nin şu anda çoğu kullanıcı için varsayılan mod olmadığını, ancak saldırganların bu açığı aktif olarak istismar etmesinin, bu yapılandırmayı kullanan kuruluşlar olduğunu gösterdiğini söyledi. Breen, e-postayla gönderdiği bir bildiride, “Internet Explorer Modu, eski web sitelerinin veya uygulamaların özellikle Internet Explorer için oluşturulduğu ve Chromium tabanlı tarayıcılar gibi modern HTML5 tarayıcıları tarafından desteklenmediği yerlerde kullanılır,” dedi. “Bu siteler ve uygulamalar için, kuruluşlar veya kullanıcılar bu uygulamalarla uyumluluğu sürdürmek için bu eski modu etkinleştirebilir,” ve bu nedenle yeni açıklanan açık nedeniyle risk altında olabilirler.
Bu güncellemedeki saldırganların etkin bir şekilde istismar ettiği sıfır günlüklerden üçü — CVE-2024-38106, CVE-2024-38107Ve CVE-2024-38193 — sistem yöneticisi statüsüne ayrıcalıkları yükseltmek için bir saldırıyı etkinleştirin.
Bunlar arasında, CVE-2024-38106 özellikle ciddidir çünkü Windows Kernel’de mevcuttur. Action 1’in başkanı ve CEO’su Mike Walters, e-postayla gönderilen yorumlarda “CVE-2024-38106 ile ilgili temel sorun, Windows Kernel’deki uygunsuz bellek işlemeyle birleşen bir yarış koşulundan kaynaklanmaktadır” dedi. “Kilitli bellekte güvence altına alınması gereken hassas veriler, bir saldırganın hassas bir zamanlamayla yarış koşulunu kazanması durumunda, erişilebilir ve değiştirilebilir bir bölgede savunmasızdır.”
Windows Güç Bağımlılığı’ndaki CVE-2024-38107 ve WinSock için Windows Yardımcı İşlev Sürücüsü’ndeki CVE-2024-38193 ayrıca saldırganların sistem düzeyinde ayrıcalıklar elde etmesini sağlar. Breen, üç EoP açığının işletim sisteminin farklı çekirdek bileşenlerini etkilediğini söyledi. “Bir saldırganın, açıklardan yararlanmak için, yanal hareket veya başka bir istismar, örneğin kötü amaçlı bir belge yoluyla, kurban makinede kod yürütmeyi elde etmiş olması gerekir.”
Aktif istismar altındaki diğer sıfır günlük durum ise CVE-2024-38213, saldırganların Windows Mark of the Web (MoTW) güvenlik korumalarını atlatmalarına olanak tanıyan bir kusur. Bu kusur, MoTW’deki diğer benzer güvenlik açıklarına benzer ve saldırganlara kötü amaçlı dosyaları ve Web içeriğini güvenilmez olarak işaretlenmeden kurumsal ortamlara gizlice sokmanın bir yolunu verir. Breen, “Bu güvenlik açığı kendi başına istismar edilebilir değildir,” dedi ve “genellikle bir istismar zincirinin parçası olarak görülür, örneğin, dosyayı e-postayla göndermeden veya tehlikeye atılmış web sitelerinde dağıtmadan önce bu atlatmayı içerecek şekilde kötü amaçlı bir belgeyi veya exe dosyasını değiştirmek.”