Aktif olarak istismar edilen bir Windows sıfır gün güvenlik açığı, Microsoft’un Aralık 2024 Yaması Salı güvenlik güncellemesine öncülük ediyor ve bu, güvenlik yöneticileri için pek de şenlikli bir haber at arabası sayılmaz: 71 yamayla doldurulmuş bir çorap.
Teknoloji devi, Windows ve Windows Bileşenleri, Office ve Office Bileşenleri, SharePoint Server, Hyper-V, Defender for Endpoint ve System Center Operations Manager’daki CVE’leri açtı.
Bu yılın tatil sezonu girişi, yılın toplam yama sayısını 1.020’ye çıkarıyor; bu, Redmond’un 2020’deki 1.250’den sonra düzeltmeler açısından en hacimli ikinci yılı. Bu ayın CVE’lerinden 16’sı kritik olarak derecelendirildi.
Windows CLFS Sıfır Gün Ayrıcalık Arttırılmasına İzin Verir
Aktif olarak yararlanılan hata şu şekilde izlenir: CVE-2024-49138 (CVSS 7.8), Windows Ortak Günlük Dosya Sistemi (CLFS) Sürücüsünde orta düzeyde bir kusurdur.
Automox’un kıdemli güvenlik mühendisi Henry Smith, e-postayla gönderilen bir analizde “CLFS, kullanıcı ve çekirdek modu işlemlerini destekleyen bir kayıt hizmetidir” dedi. “Ayrıntılar hâlâ sınırlı olsa da, temel neden muhtemelen uygunsuz veri doğrulamayla bağlantılı. … İlk göstergeler, saldırganların Windows API’lerini kullanarak günlük dosyalarını veya bozuk günlük verilerini manipüle ederek bu güvenlik açığını tetikleyerek bu hatadan yararlanabileceğini gösteriyor.”
Bir istismarın Windows Server’da SİSTEM düzeyinde ayrıcalıklara yol açtığı göz önüne alındığında, potansiyel etkinin önemli olduğunu ekledi. Uzaktan kod yürütme (RCE) hatasıyla birleştirildiğinde, bir bilgisayarı tamamen ele geçirmek için mükemmel bir reçetedir.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, e-posta yoluyla özellikle fidye yazılımı operatörlerinin “bir güvenlik önlemi geliştirdiklerini” belirtti. CLFS’nin ayrıcalık yükseltme kusurlarından yararlanma eğilimi son birkaç yıldır.”
“Genelde hassasiyet ve sabıra odaklanan gelişmiş kalıcı tehdit (APT) gruplarının aksine, fidye yazılımı operatörleri ve bağlı kuruluşları her ne şekilde olursa olsun vur-yakala taktiğine odaklanıyorlar. CLFS’deki buna benzer ayrıcalık yükseltme kusurlarını kullanan fidye yazılımı bağlı kuruluşları, verileri çalmak ve şifrelemek ve kurbanlarından şantaj yapmaya başlamak için belirli bir ağ üzerinden hareket edebilir.”
LDAP, Hyper-V ve RDP’de Kritik Uzaktan Kod Yürütme Açıkları
Kritik şiddet CVE-2024-49112 (CVSS 9.8) bu ayki sefalet stokunda belki de en endişe verici CVE’dir. Bu, Windows Basit Dizin Erişim Protokolü’nde (LDAP) kimliği doğrulanmamış bir RCE sorunudur.
Sıfır Gün Girişimi’nden (ZDI) Dustin Childs’a göre, siber saldırganlar, özel hazırlanmış bir dizi LDAP çağrısı göndererek Etki Alanı Denetleyicilerini tehlikeye atmak için bu hatadan yararlanabilirler.
Childs, “Kod yürütme, yükseltilmiş olan ancak SİSTEM olmayan LDAP hizmeti düzeyinde gerçekleşir” diye yazdı. 10 Aralık tarihli blog yazısı. “Microsoft bazı… ilginç hafifletme tavsiyeleri sunuyor. Etki Alanı Denetleyicilerinin İnternet bağlantısının kesilmesini öneriyorlar. Bu, bu saldırıyı durdursa da çoğu kuruluş için bunun ne kadar pratik olacağından emin değilim. Yamayı hızlı bir şekilde test edip dağıtmanızı öneririm.”
Hızlı bir şekilde ele alınması gereken bir diğer kritik RCE güvenlik açığı CVE-2024-49117 (CVSS 8.8) Windows Hyper-V’de. Açıklardan yararlanma, konuk sanal makinedeki (VM) bir kişinin temel ana bilgisayar işletim sistemi üzerinde kod yürütmesine veya VM’ler arası saldırı gerçekleştirmesine olanak tanır.
Childs, “Buradaki iyi haber, saldırganın kimliğinin doğrulanmasının gerekli olmasıdır” dedi. “Kötü haber şu ki, saldırgan yalnızca temel kimlik doğrulama gerektiriyor; yükseltilmiş bir şey yok. Hyper-V çalıştırıyorsanız veya bir Hyper-V sunucusunda ana bilgisayarlarınız varsa, bunun kesinlikle hızlı bir şekilde yamasını almak isteyeceksiniz.”
Toplam dokuz kritik hata Windows Uzak Masaüstü Hizmetlerini etkiliyor; bunlardan biri (CVE-2024-49132CVSS 8.1), boş hafızadan sonra kullanım koşulundan yararlanarak RCE’ye izin verir.
Automox’un güvenlik müdürü Ryan Braunstein, e-posta yoluyla şunları söyledi: “Bu istismar hassas zamanlama gerektiriyor, bu da onu gelişmiş bir saldırı haline getiriyor.” “Özellikle, bir kullanıcı Uzak Masaüstü Ağ Geçidi rolü aracılığıyla bağlanırsa, saldırgan kasıtlı olarak serbest kullanımdan sonra kullanım senaryosunu tetikleyebilir. Başarıyla yararlanılan bu güvenlik açığı, saldırganların kodlarını uzaktan yürütmesine ve sistemin kontrolünü ele geçirmesine olanak tanıyabilir.”
Bu, istismarın zor tarafta olduğu anlamına geliyor, ancak Braunstein şu uyarıda bulundu: “Zamanla siber saldırganların saldırı sürecini basitleştiren araçlar geliştirmesi muhtemeldir. O zamana kadar etkili bir geçici çözüm yoktur; bu riski azaltmak için en iyi şansınız, anında yama uygulamaktır.”
Ayrıca, diğer beş UAF hatası da dahil olmak üzere, Uzak Masaüstü Hizmetlerinde CVSS ölçeğinde 8,1 puan alan sekiz kritik güvenlik açığı daha vardır (CVE-2024-49115, CVE-2024-49116, CVE-2024-49108, CVE-2024-49106Ve CVE-2024-49128); CVE-2024-49123uygun olmayan şekilde kilitlenmiş bellekte hassas veri depolamayı içeren; CVE-2024-49120güvenli olmayan bir varsayılan değişken başlatma hatası; Ve CVE-2024-49119RDP oturumları sırasında uygun olmayan kaynak kullanımından kaynaklanan.
“Bu güvenlik açıkları vurgulanıyor RDP bileşenlerinde kalıcı sorunlarAction1’in başkanı ve kurucu ortağı Mike Walters, e-posta yoluyla şunları söyledi: “Hafıza yönetimi, zamanlama ve operasyonel yönetim de dahil olmak üzere.”[With] çeşitli temel nedenler, [it shows that] Saldırganlar RDP hizmetlerinin farklı yönlerinden yararlanabilir. Kuruluşlar, RDP hizmetlerini küresel İnternet’e maruz bırakmaktan kaçınmalı ve riskleri azaltmak için sağlam güvenlik kontrolleri uygulamalıdır. Bu kusurlar, RDP’yi açık ve korumasız bırakmanın tehlikelerini daha da kanıtlıyor.”
Aralık 2024’te Hemen Düzeltilecek Diğer Güvenlik Açıkları
Güvenlik uzmanları ayrıca güvenlik yöneticilerinin kendi hatalarına eklemeleri için iki hatayı daha işaretledi. tatil kontrol listeleriWindows Esnek Dosya Sistemindeki (ReFS) bir EoP güvenlik açığı da dahil.
Esnek Dosya Sistemi (ReFS), sanallaştırma ortamları, veritabanları ve yedeklemeler için gelişmiş ölçeklenebilirlik ve hata toleransı için tasarlanmış bir dosya sistemidir. Veri esnekliği, depolama verimliliği ve gelişmiş performans sunar.
“CVE-2024-49093 Automox’un kıdemli güvenlik mühendisi Seth Hoyt, e-posta yoluyla şöyle açıkladı: (CVSS 8.8), bir saldırganın düşük ayrıcalıklı bir uygulama kapsayıcısı ortamından ayrıcalıkları yükseltmesine olanak tanıyan bir kapsam değişikliği etrafında dönüyor. “Normalde, uygulama kapsayıcıları bir sürecin süreçlerini sınırlamak için tasarlanmıştır.” dosyalara, belleğe ve diğer kaynaklara erişme yeteneği. Bu güvenlik açığından yararlanmak, saldırganların bu sınırlamalardan kaçmasına ve sistem düzeyinde daha geniş erişim elde etmesine olanak tanır. Bu, daha önce erişilemeyen dosyalar, işlemler ve bellekle etkileşime girebilecekleri anlamına geliyor.”
Buradan siber saldırganların çevre boyunca yanal olarak hareket edebileceğini ekledi.
Bu ay araştırmacıların dile getirdiği son kömür yığını Musik’teki RCE güvenlik açığıdır (CVE-2024-49063), yapay zeka tarafından oluşturulan müzik üzerine bir araştırma projesi.
ZDI’dan Childs, “Yapay zekadaki hataların nasıl görüneceğini merak ediyorduk ve şu ana kadar seri durumdan çıkarma güvenlik açıklarına benziyorlar” dedi. “Burada sahip olduğumuz şey bu. Bir saldırgan, seri durumdan çıkarma sonrasında çalıştırılacak bir veri yükü oluşturarak kod yürütme elde edebilir. Düzenli.”