Microsoft Windows DWM Sıfır Gün Kitlesel Suistimale Hazır


Toplamda 59 CVE’den oluşan mütevazi bir bahar buketi sunan Microsoft’un Mayıs Yaması Salı güncellemesi üçlü sıfır gün manşeti (geçen ayın yalnızca üçte biri) yama yağmuru yöneticilerin ilgilenmesi için). Ancak kamuya açık olarak bilinen hatalardan en az biri kitlesel kullanıma hazır durumda ve aslında QakBot operatörleri tarafından zaten kullanılıyor.

Bu ayın açıklanan kusurları, kahuna’nın Windows, Office, .NET Framework ve Visual Studio dahil olmak üzere bilgi işlem portföyünün çeşitliliğini etkiliyor; Microsoft Dynamics 365; Güç BI; DHCP Sunucusu; Microsoft Edge (Krom tabanlı); ve Windows Mobile Geniş Bant. Bunlardan yalnızca biri Microsoft tarafından kritik olarak değerlendiriliyor.

Ayrıca Chromium tabanlı Edge tarayıcısının CVE-2024-4761’den etkilendiği de unutulmamalıdır. Chrome’un sıfır günü aktif istismar altında Google’ın bugün yamaladığı kritik bir sanal alan kaçış hatası olan bu hatanın hemen düzeltilmesi gerekiyor.

Aktif Suistimal Altındaki Sıfır Günler

CVE’lerden ikisinin vahşi doğada aktif saldırı altında olduğu listelenirken, üçüncüsü zaten “yayınlandığı sırada kamuya açık olarak biliniyordu.”

Belki de en endişe verici olanı CVE-2024-30051 (7.2 CVSS), halihazırda bir ağda bulunan yerel saldırganların sistem ayrıcalıklarına yükselmesine olanak tanıyan bir Windows DWM Çekirdek Kitaplığı ayrıcalık yükselmesi (EoP) güvenlik açığıdır. İlk erişim için bir kod yürütme hatasıyla zincirlendiğinde, hedefin tamamen ele geçirilmesine ve yanal harekete (fidye yazılımı aktörleri tarafından kullanılan ortak bir yol) yol açabilir.

Gerçekten de Kaspersky araştırmacıları bugün ortak bir blogda, Nisan ayında yayılmaya başlayan bu istismara birden fazla tehdit aktörünün erişebildiğini belirtti. O zamandan bu yana, özellikle popüler QakBot ilk erişim Truva Atı’nı kullanan rakiplerin bu hatayı ele geçirdiğini söylediler. QakBot, fidye yazılımında sıklıkla görülen bir ortaktır saldırılar.

Kaspersky GReAT baş güvenlik araştırmacısı Boris Larin şunları söyledi: “Tehdit aktörlerinin bu istismarı kendi cephaneliklerine entegre etme hızı, siber güvenlikte zamanında güncelleme ve dikkatli olmanın önemini vurguluyor.” Kaspersky’nin blogu.

Trend Micro’nun Sıfır Gün Girişimi’nin (ZDI) tehdit girişimi başkanı Dustin Childs, istismarın yakında çığ gibi büyüyebileceğini, dolayısıyla buna öncelik verilmesinin şart olduğunu söylüyor.

Salı günkü Yaması’nda “Microsoft saldırıların hacmine dair herhangi bir gösterge sunmuyor, ancak DWM Core hatası bana hedefli bir saldırıdan daha fazlası gibi görünüyor” dedi. bozulma Bugün. “Microsoft, hatayı bildirdikleri için dört farklı gruba itibar ediyor, bu da saldırıların yaygın olduğunu gösteriyor… Bu güncellemeyi test etmek ve dağıtmak için beklemeyin; artık tersine mühendislik yapılabilecek bir yama mevcut olduğundan istismarlar muhtemelen artacaktır.”

Aktif olarak istismar edilen diğer güvenlik açığı, Windows MSHTML (Trident) Platformu yüksek önem dereceli güvenlik özelliğinin atlanmasıdır (CVE-2024-30040CVSS 8.8) — ve aynı zamanda yamalama için yüksek öncelik olarak kabul edilmelidir.

MSHTML platformu, Microsoft 365 ve Microsoft Office de dahil olmak üzere çeşitli uygulamalarda HTML içeriğini oluşturmak için kullanılan önemli bir bileşendir.

Action1’deki araştırmacılar, “Bu güvenlik açığı, hatalı giriş doğrulamasından (CWE-20) kaynaklanıyor ve saldırganların, kötü niyetli COM/OLE kontrollerine karşı koruma sağlayan Nesne Bağlama ve Katıştırma (OLE) azaltımlarını atlatmasına olanak tanıyor” dedi. Salı günü yama yazısı.

Şöyle açıkladılar: “Genellikle kullanıcılar, e-posta veya anlık mesajlaşma yoluyla gönderilebilecek kötü amaçlı dosyalarla etkileşime girecek şekilde kandırılıyor. Hatalı giriş doğrulaması, sistemin girişi doğru şekilde doğrulayamadığı ve sterilize edemediği anlamına gelir ve saldırganların MSHTML’nin OLE’sini atlayan belgeler oluşturmasına olanak tanır. azaltımlar ve kullanıcı etkileşimi üzerine isteğe bağlı kod yürütme.”

Ayrıca, CVE-2024-30040’ı bir EoP güvenlik açığıyla birleştirmek, saldırganların sistem veya kök ayrıcalıkları elde etmesine, kalıcılık mekanizmaları uygulamasına, güvenli ortamlardan hassas bilgiler almasına ve ağ içinde yanal olarak hareket etmek için ek güvenlik açıklarından yararlanmasına olanak tanıyabilir.

Aktif saldırı altında olmayan üçüncü sıfır gün, ASP.NET Core’da bulunan ve hizmet reddine (DoS) yol açabilen orta dereceli CVE-2024-30046’dır (CVSS 5.9).

Kritik Hata, Bilgi İfşa Etme Vektörlerinin Yayılmasını Sağlıyor

Bu ayki güvenlik açığı yamasındaki tek kritik hata: CVE-2024-30043 (CVSS 8.8) Microsoft SharePoint Server’da. ZDI’dan Childs’a göre, bilginin açığa çıkması güvenlik açığı daha spesifik olarak bir XML harici varlık enjeksiyonu (XXE) hatasıdır.

“Kimliği doğrulanmış bir saldırgan, bu hatayı, SharePoint Farm hizmet hesabı kullanıcı ayrıcalıklarına sahip yerel dosyaları okumak için kullanabilir” diye açıkladı. “Ayrıca HTTP tabanlı sunucu tarafı istek sahteciliği (SSRF) gerçekleştirebilirler ve en önemlisi, SharePoint Farm hizmet hesabı olarak NLTM geçişi gerçekleştirebilirler. Bunun gibi hatalar, bilgi ifşa etme güvenlik açıklarının neden göz ardı edilmemesi veya önceliklerinin kaldırılmaması gerektiğini gösteriyor.”

Bununla birlikte, Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, sömürünün mutlaka düşük bir sonuç olmadığını belirtti.

“Bu güvenlik açığı aynı zamanda istismar edilme olasılığı daha yüksek olan çeşitli güvenlik açıklarından biri olarak kabul edilse de, bu güvenlik açığından yararlanmak için saldırganın öncelikle Site Sahibi izinlerine (veya daha yüksek) sahip güvenlik açığına sahip bir SharePoint Sunucusunda kimliğinin doğrulanması ve bu güvenlik açığından yararlanabilmesi için ek adımlar atması gerekir. “Kötü bir kusur” dedi e-posta yoluyla, “saldırganların çoğu en az dirençle karşılaşacakları yolu izledikçe bu kusurun geniş çapta istismar edilme olasılığı azalıyor.”

Önceliklendirilmesi Gereken Diğer Hatalar

Araştırmacılar ayrıca Microsoft’un sürümünde yöneticilerin potansiyel olarak öncelik vermesi gereken bir dizi başka hata da belirlediler.

İlk önce CVE-2024-30033 (CVSS 7.0), Automox güvenlik mühendisi Mat Lee’nin Windows Arama Hizmeti’nde önemli olarak değerlendirilen bir Windows Arama Hizmeti EoP hatasının kritik olarak değerlendirilmesi gerektiğini söyledi.

“Bu kusur, izinlerin hizmet tarafından uygunsuz şekilde kullanılmasından kaynaklanmaktadır ve bu izinler, sistemde yetkisiz eylemler gerçekleştirmek için kullanılabilir.” bir blog yazısında açıklandı Bugün. “Bu özel güvenlik açığı, ayrıcalık artışı sağlamak için diğer istismarlarla birleştirilebileceğinden önemli bir risk oluşturma potansiyeline sahiptir. Bir tehdit aktörü, saldırıların bir kombinasyonunu kullandığında, saldırganın her şeyi yapabileceği tehdidi büyütme potansiyeline sahiptir. sistemi memnun ediyorlar.”

ayrıca var CVE-2024-30018 (CVSS 7.8), önemli derecelendirilmiş bir Windows Çekirdeği EoP sorunu.

Automox’un CISO’su ve üründen sorumlu kıdemli başkan yardımcısı Jason Kikta, “Çekirdek, donanım-yazılım etkileşimlerini ve sistem kaynaklarını yöneterek, sistem işlemlerini kendi çıkarları doğrultusunda manipüle etmek isteyen saldırganlar için onu güçlü bir hedef haline getiriyor” dedi. “Bir saldırgan, çekirdekteki güvenlik açıklarından yararlanarak güvenlik mekanizmalarını atlayabilir, yükseltilmiş ayrıcalıklarla kod yürütebilir ve potansiyel olarak etkilenen sistemin tam kontrolünü ele geçirebilir.”

Kendisi şunları ekledi: “Bu güvenlik açıkları özellikle tehlikelidir çünkü düşük düzeyde çalışırlar ve sistem bütünlüğüne ve güvenliğine yönelik potansiyel tehditleri azaltmak için genellikle anında ve öncelikli yama uygulanmasını gerektirirler.”

Ve son olarak ZDI’nın Childs’ı işaretlendi CVE-2024-30050 (CVSS 5.4), orta dereceli bir güvenlik bypass’ı Web’in Windows İşareti.

“Normalde orta dereceli hataları ayrıntılı olarak anlatmıyoruz, ancak bu tür güvenlik özelliklerini atlama, fidye yazılımı çetelerinde moda” diye açıkladı. “Ağ ve ana bilgisayar tabanlı savunmaları atlamak için yüklerini sıkıştırıyorlar. Microsoft Office’teki SmartScreen veya Korumalı Görünüm’den kaçınmak için Web İşareti (MotW) atlamasını kullanıyorlar. Bu hatanın aktif olarak kullanıldığına dair hiçbir göstergemiz olmasa da, şunu görüyoruz: Bunun gibi hatalar, orta dereceli hataların neden göz ardı edilmemesi veya önceliklendirilmemesi gerektiğini gösteriyor.”





Source link