Microsoft, Şubat Yaması Salı’nda, 2024’ün ikinci düşüşünde açıklanan toplam 70’in biraz üzerinde güvenlik açığından aktif olarak yararlanılan iki sıfır gün güvenlik açığını (sırasıyla İnternet Kısayol Dosyalarını ve Windows SmartScreen’i etkileyen bir çift güvenlik özelliği atlaması) yamaladı.
Bu ayın en acil sorunlarından bazıları arasında Microsoft Dynamics, Exchange Server, Office ve Windows Hyper-V ve Pragmatic General Multicast’teki kritik güvenlik açıkları yer alıyor; ancak bu kusurların hiçbiri henüz yaygın olarak kullanılmıyor.
Su Hidra
İki sıfır günden ilki CVE-2024-21412 olarak izleniyor ve Trend Micro araştırmacıları tarafından bulundu. Özellikle Water Hydra olarak takip edilen bir grup tarafından döviz tüccarlarını hedeflemek için kullanıldığı görülüyor.
Trend Micro’ya göre siber suç çetesi, SmartScreen’i atlatmak ve muhtemelen gelecekteki saldırıların öncüsü olarak DarkMe adı verilen bir uzaktan erişim trojanını (RAT) sunmak için daha geniş bir saldırı zincirinin parçası olarak CVE-2024-21412’den yararlanıyor. fidye yazılımı.
Qualys Tehdit Araştırma Birimi güvenlik açığı araştırmasından sorumlu ürün müdürü Saeed Abbasi, “CVE-2024-21412, Microsoft Defender SmartScreen’in sıfır gün kusuru aracılığıyla gelişmiş bir şekilde kullanılmasıyla karakterize edilen kritik bir güvenlik açığını temsil ediyor” dedi.
“Bu güvenlik açığı, görüntülenen güvenlik kontrollerini atlamak için internet kısayollarını ve WebDAV bileşenlerini akıllıca yönlendiren, kimlik avı taktikleri yoluyla gönderilen özel hazırlanmış bir dosya aracılığıyla istismar ediliyor.
“Sömürü kullanıcı etkileşimi gerektiriyor, saldırganlar hedeflenen kullanıcıyı kötü amaçlı bir dosyayı açmaya ikna etmeli, teknik savunmanın yanı sıra kullanıcı farkındalığının önemini vurgulamalı. Bu güvenlik açığının etkisi çok derin, güvenliği tehlikeye atıyor ve SmartScreen gibi koruyucu mekanizmalara olan güveni zayıflatıyor” dedi Abbasi.
CVE-2024-21351 olarak takip edilen ikinci sıfır gün, sonuçta SmartScreen hizmetini etkilemesi açısından birinciye oldukça benzer. Ancak bu durumda, saldırganın, bir dosyaya güvenilip güvenilemeyeceğini belirten Web İşareti (MotW) adı verilen kontrolleri atlatmasına ve kendi kodunu çalıştırmasına olanak tanır.
Abbasi, “Bu atlama, minimum düzeyde kullanıcı etkileşimi ile gerçekleşebilir ve yalnızca kullanıcının kötü amaçlı bir dosyayı açmasını gerektirir” dedi. “Bu istismarın etkisi, verilere olası yetkisiz erişimi (bir miktar gizlilik kaybı), verilerin ciddi şekilde manipülasyonunu veya bozulmasını (tamamen bütünlük kaybı) ve sistem operasyonlarının kısmen kesintiye uğramasını (bir miktar kullanılabilirlik kaybı) içerir.
“Bu güvenlik açığının önemi, kötü amaçlı yazılımlara ve kimlik avı saldırılarına karşı önemli bir güvenlik savunmasını zayıflatma yeteneğinde yatıyor ve kullanıcıların riski azaltmak için sistemlerini güncellemelerinin aciliyetini vurguluyor.”
Kritik güvenlik açıkları
Bu ayki beş kritik güvenlik açığı CVE numara sırasına göre şöyle:
- CVE-2024-20684, Windows Hyper-V’deki bir hizmet reddi (DoS) güvenlik açığı;
- CVE-2024-21357, Windows Pragmatik Genel Çok Noktaya Yayında (PGM) bir uzaktan kod yürütme (RCE) güvenlik açığı;
- CVE-2024-21380, Microsoft Dynamics Business Central/NAV’da bir bilginin açığa çıkması güvenlik açığı;
- CVE-2024-21410, Microsoft Exchange Server’da bir ayrıcalık yükselmesi (EoP) güvenlik açığı;
- CVE-2024-21413, Microsoft Office’teki bir RCE güvenlik açığı.
Bu ayın kritik güvenlik açıklarını değerlendiren güvenlik uzmanları, özellikle Microsoft Exchange’deki CVE-2024-21410’u mercek altına aldı. Immersive Labs’ın tehdit araştırması kıdemli yöneticisi Kev Breen, listede üst sıralarda yer alması gerektiğini, çünkü aktif olarak istismar edildiği belirtilmese de istismar edilme ihtimalinin çok daha yüksek olduğunu söyledi.
“Bu özel güvenlik açığı, NTLM aktarımı veya karma geçiş saldırısı olarak biliniyor ve bu saldırı tarzı, ağdaki kullanıcıların kimliğine bürünmelerine olanak tanıdığı için tehdit aktörlerinin favorisi” dedi.
“Bu güvenlik açığının çalışma şekli şu; eğer bir saldırgan NTLM karmanızı toplayabilirse, şifrenizin kodlanmış sürümüne etkili bir şekilde sahip olur ve Exchange Server’da sizin adınıza oturum açabilir. Microsoft, saldırganların bu NTLM karmasına erişim sağlayabilme yöntemlerinden biri olarak, Outlook’un sıfır tıklama istismarı CVE-2023-35636 gibi geçmişteki güvenlik açıklarını özellikle belirtiyor.”
“Finansal motivasyona sahip saldırganlar, çalışanlar adına, örneğin CEO veya CFO’dan gelen meşru e-postaları ele geçirebilecekleri, okuyabilecekleri ve gönderebilecekleri daha ikna edici iş e-postası uzlaşma saldırılarına izin verdiği için bunu denemekte ve silahlandırmakta hızlı davranacaklardır” dedi.
Action1’in başkanı ve kurucu ortağı Mike Walters, Outlook’ta CVSS ölçeğinde 9,8 gibi çok yüksek bir önem derecesi taşıyan CVE-2024-21412’ye dikkat çekti.
“Ağ tabanlı saldırı vektörüyle karakterize edilen güvenlik açığı, istismar için hiçbir özel ayrıcalık veya kullanıcı etkileşimi gerektirmiyor ve gizliliği, bütünlüğü ve kullanılabilirliği önemli ölçüde etkileyebilir” dedi.
Bir saldırgan, Outlook’taki önizleme bölmesi aracılığıyla bu güvenlik açığından yararlanabilir, böylece Office Korumalı Görünümü atlatabilir ve dosyaları daha güvenli korumalı mod yerine düzenleme modunda açılmaya zorlayabilir,” dedi Walters.
Walters, bu güvenlik açığının oluşturduğu tehdidin önemli olduğunu, muhtemelen bir saldırganın ayrıcalıklarını yükseltmesine ve veri okuma, yazma ve silme yeteneği kazanmasına olanak sağladığını söyledi. Bu endişeye ek olarak, Korumalı Görünüm Protokolünü atlamak için kötü amaçlı bağlantılar oluşturmalarına da olanak tanıyabilir, bu da yerel NTLM kimlik bilgilerinin açığa çıkmasına ve muhtemelen uzaktan kod yürütülmesini kolaylaştırmasına neden olabilir. Bu nedenle öncelikli olarak ele alınmalıdır.