Microsoft, Ekim 2024 Yaması Salı günü için, ikisi aktif olarak istismar edilenler de dahil olmak üzere 117 güvenlik açığına yönelik düzeltmeler yayımladı: Windows MSHTML Platformunu etkileyen bir kimlik sahtekarlığı hatası olan CVE-2024-43573 ve Windows MSHTML Platformunu etkileyen bir uzaktan kod yürütme kusuru olan CVE-2024-43572. Microsoft Yönetim Konsolu (MMC).
CVE-2024-43573 ve CVE-2024-43572 hakkında
Ekteki tavsiyelerden anlaşılabildiği kadarıyla, CVE-2024-43573 Void Banshee APT tarafından sıfır gün olarak istismar edilen ve Microsoft tarafından Temmuz 2024’te yamalanan, artık kullanımdan kaldırılan Internet Explorer için bir tarayıcı motoru olan MSHTML’deki bir güvenlik açığı olan CVE-2024-38112’ye benzer.
Daha sonra Void Banshee’nin aynı saldırılarda ikinci bir Windows MSHTML kusuru kullandığı ortaya çıktı.
Trend Micro Inc.’in Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs, “Microsoft’tan aynı grup olup olmadığına dair bir açıklama yok, ancak burada herhangi bir onay olmadığı göz önüne alındığında, orijinal yamanın yetersiz olduğunu düşünüyorum” diyor. CVE-2024-43573 güncelleştirmesinin hızlı bir şekilde test edilmesini ve dağıtılmasını öneriyor.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang’a göre CVE-2024-43573, şu anda tehdit aktörleri tarafından kullanılan değerli bir saldırı yolunu vurguluyor. “Genellikle bir tür sosyal mühendislikten yararlanan tüm bu MSHTML kusurlarından yararlanmak için kullanıcı etkileşimi gerekiyor.”
CVE-2024-43572 – Microsoft Yönetim Konsolu’ndaki RCE kusuru – bir kullanıcının kötü amaçlı bir MMC ek bileşen dosyası yüklemesiyle tetiklenebilir.
Childs, “Microsoft bu saldırıların ne kadar yaygın olduğunu söylemiyor, ancak bu hatadan yararlanmak için gereken sosyal mühendislik miktarı göz önüne alındığında, saldırıların bu noktada sınırlı olacağını düşünüyorum” dedi. Microsoft tarafından sağlanan güvenlik güncelleştirmesinin uygulanması, güvenilmeyen Microsoft Kayıtlı Konsol (MSC) dosyalarının açılmasını engelleyecektir.
“CVE-2024-43572’nin kullanımda kullanımıyla ilgili herhangi bir spesifik ayrıntıya sahip olmasak da, bu yama, araştırmacıların eski bir siteler arası komut dosyası çalıştırmadan (XSS) yararlanan GrimResource adlı bir saldırı tekniğini açıklamasından birkaç ay sonra geldi. Yardım Net Security’ye konuşan Narang, “Bu güvenlik açığı, kod yürütme ayrıcalıkları kazanmak için özel hazırlanmış bir MSC dosyasıyla birleştirildi” dedi.
Dikkat edilmesi gereken diğer güvenlik açıkları
Microsoft ayrıca curl, Windows Hyper-V ve WinLogon’da genel olarak bilinen (ancak aktif olarak yararlanılmayan) üç güvenlik açığı için yamalar yayımladı; bunlardan sonuncusunun kötüye kullanılması daha olasıdır (güvenliği ihlal edilmiş sistemlerde SİSTEM ayrıcalıkları kazanmak için).
Childs ayrıca özel hazırlanmış bir istek veya hatalı biçimlendirilmiş bir paket gönderilerek uzaktan tetiklenebilecek iki güvenlik açığını da belirledi: ilki CVE-2024-43468Microsoft Configuration Manager’daki bir kusur ve ikincisi CVE-2024-43582Uzak Masaüstü Protokolü (RDP) Sunucusunda. Her ikisi de uzaktan kod yürütülmesine izin verebilir.
CVE-2024-43488Arduino için Visual Studio Code uzantısındaki kritik bir RCE olan ., uzantı kullanımdan kaldırıldığı için düzeltilmeyecek.
Şirket, “Microsoft müşterilerinin Arduino IDE yazılımını kullanmasını tavsiye ediyor” diyor. Ancak NetSPI güvenlik danışmanı Will Bradle, Help Net Security’ye, savunmasız uzantının artık VS Code Marketplace’te mevcut olmasa da GitHub aracılığıyla yüklenebileceğini ve mevcut kurulumların kimliği doğrulanmamış RCE’ye karşı savunmasız kaldığını söyledi.