Microsoft, ikisi aktif olarak istismar edilen 149 rekor açığı düzeltmek için Nisan 2024 ayı için güvenlik güncellemeleri yayınladı.
149 kusurdan üçü Kritik, 142’si Önemli, üçü Orta ve biri de Düşük önem derecesine sahip. Güncelleme, Mart 2024 Salı Yaması düzeltmelerinin yayınlanmasının ardından şirketin Chromium tabanlı Edge tarayıcısında giderdiği 21 güvenlik açığının dışında yer alıyor.
Aktif olarak sömürülen iki eksiklik aşağıdadır –
- CVE-2024-26234 (CVSS puanı: 6,7) – Proxy Sürücüsü Sahteciliği Güvenlik Açığı
- CVE-2024-29988 (CVSS puanı: 8,8) – SmartScreen İstemi Güvenlik Özelliği Güvenlik Açığı Atlama
Microsoft’un kendi tavsiye belgesinde CVE-2024-26234 hakkında hiçbir bilgi bulunmamasına rağmen siber güvenlik firması Sophos, Aralık 2023’te geçerli bir Microsoft Windows Donanım Uyumluluk Yayımcısı tarafından imzalanmış kötü amaçlı bir yürütülebilir dosya (“Catalog.exe” veya “Katalog Kimlik Doğrulama İstemci Hizmeti”) keşfettiğini söyledi (WHCP) sertifikası.
İkili dosyanın orijinal kod analizi, orijinal istekte bulunan yayıncının, aynı zamanda LaiXi Android Ekran Aynalama adlı başka bir aracın da yayıncısı olan Hainan YouHu Technology Co. Ltd’ye ait olduğunu ortaya çıkardı.
İkincisi “bir pazarlama yazılımı … [that] yüzlerce cep telefonunu bağlayıp toplu olarak kontrol edebiliyor, toplu takip, beğenme, yorum yapma gibi görevleri otomatikleştirebiliyor.”
İddia edilen kimlik doğrulama hizmetinde, virüs bulaşmış bir sistemdeki ağ trafiğini izlemek ve engellemek için tasarlanmış ve etkili bir şekilde arka kapı görevi gören 3proxy adı verilen bir bileşen mevcut.
Sophos araştırmacısı Andreas Klopsch, “LaiXi geliştiricilerinin kötü amaçlı dosyayı kasıtlı olarak ürünlerine yerleştirdiğine veya bir tehdit aktörünün dosyayı LaiXi uygulamasının derleme/oluşturma sürecine eklemek için bir tedarik zinciri saldırısı düzenlediğine dair hiçbir kanıtımız yok” dedi. .
Siber güvenlik şirketi ayrıca arka kapının 5 Ocak 2023’e kadar uzanan çok sayıda başka varyantını keşfettiğini ve kampanyanın en azından o zamandan beri devam ettiğini gösterdiğini söyledi. Microsoft daha sonra ilgili dosyaları iptal listesine ekledi.
Aktif saldırıya uğradığı bildirilen diğer güvenlik açığı ise CVE-2024-29988’dir; bu kusur, CVE-2024-21412 ve CVE-2023-36025 gibi, saldırganların özel hazırlanmış bir dosyayı açarken Microsoft Defender Smartscreen korumalarından kaçmasına olanak tanır.
Microsoft, “Bu güvenlik özelliğinden yararlanarak güvenlik açığını aşmak için, bir saldırganın kullanıcıyı hiçbir kullanıcı arayüzünün gösterilmemesini talep eden bir başlatıcı uygulaması kullanarak kötü amaçlı dosyalar başlatmaya ikna etmesi gerekir” dedi.
“Bir e-posta veya anlık mesaj saldırısı senaryosunda, saldırgan hedeflenen kullanıcıya uzaktan kod yürütme güvenlik açığından yararlanmak üzere tasarlanmış özel hazırlanmış bir dosya gönderebilir.”
Sıfır Gün Girişimi, Microsoft’un bunu “Kullanım Olasılığı Daha Yüksek” değerlendirmesiyle etiketlemesine rağmen, kusurun vahşi ortamda istismar edildiğine dair kanıt bulunduğunu ortaya çıkardı.
Bir diğer önemli güvenlik açığı, Microsoft Azure Kubernetes Hizmeti Gizli Konteynerini etkileyen ve kimliği doğrulanmamış saldırganlar tarafından kimlik bilgilerini çalmak için kullanılabilecek bir ayrıcalık yükselmesi kusuru olan CVE-2024-29990’dır (CVSS puanı: 9,0).
Redmond, “Bir saldırgan, güvenilmeyen AKS Kubernetes düğümüne ve AKS Gizli Konteynerine erişerek bağlı olabileceği ağ yığınının ötesindeki gizli konukları ve konteynerleri ele geçirebilir” dedi.
Toplamda sürüm, 68’e kadar uzaktan kod yürütme, 31 ayrıcalık yükseltme, 26 güvenlik özelliği atlama ve altı hizmet reddi (DoS) hatasını gidermesiyle dikkat çekiyor. İlginç bir şekilde, 26 güvenlik atlama hatasından 24’ü Güvenli Önyükleme ile ilgilidir.
Kıdemli personel Satnam Narang, “Bu ay ele alınan Güvenli Önyükleme güvenlik açıklarının hiçbiri yaygın olarak kullanılmamış olsa da, Güvenli Önyükleme’deki kusurların devam ettiğini ve gelecekte Güvenli Önyükleme ile ilgili daha fazla kötü amaçlı etkinlik görebileceğimizi hatırlatıyor.” Tenable’daki araştırma mühendisi, bir açıklamada şunları söyledi.
Açıklama, Microsoft’un güvenlik uygulamaları nedeniyle eleştirilere maruz kaldığı ve ABD Siber Güvenlik İnceleme Kurulu’nun (CSRB) yakın zamanda yayınladığı bir raporda, şirketin Storm olarak takip edilen Çinli bir tehdit aktörü tarafından düzenlenen bir siber casusluk kampanyasını önlemek için yeterince çaba göstermediği yönünde çağrıda bulunduğu bir dönemde geldi. -0558 geçen yıl.
Bu aynı zamanda şirketin Ortak Zayıflık Sayımı (CWE) endüstri standardını kullanarak güvenlik kusurlarının temel neden verilerini yayınlama kararının da ardından geldi. Ancak değişikliklerin yalnızca Mart 2024’ten bu yana yayınlanan tavsiyelerden itibaren geçerli olduğunu belirtmekte fayda var.
Rapid7’nin baş yazılım mühendisi Adam Barnett, The Hacker News ile paylaşılan bir açıklamada, “Microsoft güvenlik önerilerine CWE değerlendirmelerinin eklenmesi, bir güvenlik açığının genel temel nedeninin belirlenmesine yardımcı oluyor” dedi.
“CWE programı yakın zamanda CVE’leri bir CWE Kök Nedeniyle eşlemeye ilişkin kılavuzunu güncelledi. CWE eğilimlerinin analizi, geliştiricilerin iyileştirilmiş Yazılım Geliştirme Yaşam Döngüsü (SDLC) iş akışları ve testleri yoluyla gelecekteki oluşumları azaltmalarına yardımcı olmanın yanı sıra, savunucuların nereye yönlendirileceklerini anlamalarına da yardımcı olabilir. En iyi yatırım getirisi için derinlemesine savunma ve konuşlandırmayı güçlendirme çabaları.”
İlgili bir gelişmede siber güvenlik firması Varonis, saldırganların denetim günlüklerini atlatmak ve SharePoint’ten dosya sızdırırken indirme olaylarını tetiklemekten kaçınmak için benimseyebilecekleri iki yöntemi ayrıntılı olarak açıkladı.
İlk yaklaşım, dosyalara erişmek ve indirmek için SharePoint’in “Uygulamada Aç” özelliğinden yararlanırken, ikincisi, dosyaları ve hatta tüm siteleri indirmek için Microsoft SkyDriveSync Kullanıcı Aracısını kullanırken bu tür olayları, indirmeler yerine dosya senkronizasyonları olarak yanlış kategorilere ayırır.
Kasım 2023’te sorunlardan haberdar olan Microsoft, yama biriktirme programına eklenmesine rağmen henüz bir düzeltme yayınlamadı. Bu arada kuruluşların, özellikle kısa bir süre içinde büyük hacimli dosya indirmeleri içeren şüpheli erişim olaylarına karşı denetim günlüklerini yakından izlemeleri önerilir.
Eric Saraga, “Bu teknikler, indirmeleri daha az şüpheli erişim ve senkronizasyon olayları olarak gizleyerek, bulut erişim güvenlik aracıları, veri kaybı önleme ve SIEM’ler gibi geleneksel araçların tespit ve uygulama politikalarını atlayabilir” dedi.
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: