Saldırganlar, Microsoft’un aylık güvenlik güncellemesinin bir parçası olarak 12 Kasım’da yama yayınladığı iki güvenlik açığından halihazırda aktif olarak yararlanıyor. Ve yakında kamuya açıklanmış ancak henüz kullanılmamış diğer iki kusuru hedeflemeye başlayabilirler.
Dört sıfır gün hatası, Microsoft’un Kasım Salı Yaması’nda ele aldığı 89 yaygın güvenlik açığı ve maruz kalma (CVE) kümesi arasında yer alıyor. Toplu işlem, olağan ayrıcalık yükseltme kusurları, kimlik sahtekarlığı güvenlik açıkları, güvenlik atlama, hizmet reddi sorunları ve diğer güvenlik açığı sınıflarının yanı sıra önemli ölçüde yüksek oranda uzaktan kod yürütme (RCE) güvenlik açıkları içerir. Microsoft, kusurlardan sekizini saldırganların yararlanma olasılığının daha yüksek olduğu sorunlar olarak tanımladı; ancak araştırmacılar, rakiplerin büyük olasılıkla ilgisini çekebilecek diğer kusurlara da işaret etti.
Microsoft CSAF Standardını Benimsiyor
Bununla birlikte Kasım güvenlik güncellemesi, Microsoft ayrıca duyuruldu benimsenmesi Ortak Güvenlik Danışma Çerçevesi (CSAF), güvenlik açıklarını makine tarafından okunabilir biçimde açıklamaya yönelik bir OASIS standardıdır. Microsoft bir blog yazısında “CSAF dosyalarının insanlardan çok bilgisayarlar tarafından tüketilmesi amaçlanıyor” dedi. Şirket, bunun kuruluşların güvenlik açığına müdahale ve iyileştirme süreçlerini hızlandırmasına yardımcı olması gerektiğini belirtti.
“Bu bir güvenlik topluluğu için büyük kazanç ve Microsoft’un güvenlik sayfalarına hoş bir eklenti” diyen Fortra Güvenlik Ar-Ge Direktör Yardımcısı Tyler Reguly, e-posta yoluyla şöyle konuştu: “Bu, birçok yazılım satıcısı tarafından benimsenen bir standarttır ve Microsoft’un da aynı yolu izlediğini görmek harika. “
Aktif Suistimal Altındaki Sıfır Gün Hataları
Saldırganların hâlihazırda aktif olarak istismar ettiği sıfır gün hatalarından biri CVE-2024-43451 (CVSS 10 üzerinden 6,5), bir kullanıcının NTLMv2 karmasını açıklıyor Windows ortamlarında kimlik bilgilerini doğrulamak için. Hash’ler, saldırganların meşru kullanıcılar olarak kimlik doğrulamasına ve izinleri olan uygulamalara ve verilere erişmesine olanak tanır. Güvenlik açığı tüm Windows sürümlerini etkiliyor ve yararlanılması için minimum düzeyde kullanıcı etkileşimi gerekiyor. Microsoft, yalnızca bir dosyayı seçmenin veya incelemenin güvenlik açığını tetikleyebileceği konusunda uyardı.
______________________________
Yaklaşan ücretsiz kampanyayı kaçırmayın Karanlık Okuma Sanal Etkinliği“Düşmanınızı Tanıyın: Siber Suçluları ve Ulus-Devlet Tehdit Aktörlerini Anlamak”, 14 Kasım, saat 11:00 ET. MITRE ATT&CK’yi anlama, proaktif güvenliği bir silah olarak kullanma ve olaylara müdahalede ustalık sınıfına ilişkin oturumları kaçırmayın; ve Navy Credit Federal Union’dan Larry Larsen, eski Kaspersky Lab analisti Costin Raiu, Mandiant Intelligence’dan Ben Read, SANS’tan Rob Lee ve Omdia’dan Elvia Finalle gibi çok sayıda önemli konuşmacı. Şimdi kaydolun!
______________________________
Tenable’ın kıdemli personel mühendisi Satnam Narang, e-postayla gönderdiği bir yorumda, “Bildiğim kadarıyla bu, bir kullanıcının 2024’te vahşi ortamda istismar edilen NTLMv2 karmasını açığa çıkarabilecek üçüncü güvenlik açığıdır.” diye yazdı. Diğer ikisi CVE-2024-21410 Şubat ayından itibaren Microsoft Exchange Server’da ve CVE-2024-38021 Temmuz ayından itibaren Microsoft Office’te.
Narang’a göre “Kesin olan bir şey var”. “Saldırganlar, NTLMv2 karmalarını açığa çıkarabilecek sıfır gün güvenlik açıklarını keşfetme ve bunlardan yararlanma konusunda kararlı olmaya devam ediyor.”
Microsoft’un son güncellemesinde aktif istismar kapsamındaki ikinci hata: CVE-2024-49039 (CVSS 8.8), bir saldırganın normalde yalnızca ayrıcalıklı hesaplarda kullanılabilen uzaktan prosedür çağrılarını (RPC) yürütmesine olanak tanıyan bir Windows Görev Zamanlayıcı ayrıcalık yükseltme hatası.
“Bu durumda düşük ayrıcalıktan başarılı bir saldırı gerçekleştirilebilir Uygulama KonteyneriMicrosoft, “Saldırgan ayrıcalıklarını yükseltebilir ve AppContainer yürütme ortamından daha yüksek bir bütünlük düzeyinde kod yürütebilir veya kaynaklara erişebilir.”
Narang, bu kusuru keşfedenin ve Microsoft’a bildirenin Google’ın Tehdit Analizi Grubu olduğu gerçeğinin, şu anda bu kusurdan yararlanan saldırganların ya ulus devlet destekli bir grup ya da başka bir gelişmiş kalıcı tehdit aktörü olduğunu gösterdiğini söyledi.
Immersive Labs baş siber güvenlik mühendisi Ben McCarthy, e-posta yoluyla şunları ekledi: “Bir saldırgan, bu istismarı düşük ayrıcalıklı bir AppContainer olarak gerçekleştirebilir ve yalnızca ayrıcalıklı görevlerde bulunması gereken RPC’leri etkili bir şekilde çalıştırabilir.” “Burada hangi RPC’lerin etkilendiği belli değil, ancak bu durum bir saldırganın, güvenlik açığını çalıştırdıkları makinenin yanı sıra uzaktaki bir makinede ayrıcalıkları yükseltmesine ve kod yürütmesine erişim sağlayabilir.”
Daha Önce Açıklanmış Ancak Kullanılmayan Sıfır Günler
Halihazırda açıklanan ancak henüz kullanılmayan iki sıfır günden biri CVE-2024-49019 (CVSS 7.8), Active Directory Sertifika Hizmetlerinde saldırganların etki alanı yöneticisi erişimi elde etmek için kullanabileceği bir ayrıcalık yükselmesi güvenlik açığı. Microsoft’un tavsiye belgesinde, kullanıcılar veya gruplar için aşırı geniş kayıt haklarının kaldırılması, kullanılmayan şablonların kaldırılması ve kullanıcıların istekte bir konu belirtmesine olanak tanıyan şablonların güvenliğini sağlamak için ek önlemlerin uygulanması da dahil olmak üzere, sertifika şablonlarının güvenliğini sağlamak için kuruluşlara yönelik çeşitli öneriler sıralandı.
Microsoft, kamuya açıklanan ancak yararlanılmayan diğer kusuru da takip ediyor CVE-2024-49040 (CVSS 7.5), bir Windows Exchange Server kimlik sahtekarlığı kusuru. Action1’in başkanı ve kurucu ortağı Mike Walters, “Asıl sorun, Exchange’in üstbilgileri nasıl işlediği ve saldırganların yanlışlıkla meşru kaynaklardan geliyormuş gibi görünen e-postalar oluşturmasına olanak sağlamasıdır” diye yazdı. blog yazısı. “Bu yetenek özellikle hedef odaklı kimlik avı ve diğer e-posta tabanlı aldatma biçimleri için kullanışlıdır.”
RCE Güvenlik Hataları Önemli Bir Ay Geçiriyor
Microsoft’un Kasım güncellemesinde açıkladığı hataların neredeyse %60’ı (89 üzerinden 52’si), uzak saldırganların savunmasız sistemlerde rastgele kod çalıştırmasına izin veren RCE güvenlik açıkları. Bazıları kimliği doğrulanmamış RCE’ye izin verirken diğerleri, bir saldırganın bu hatadan yararlanabilmesi için kimliği doğrulanmış erişime sahip olmasını gerektirir. Microsoft’un en son güncellemesindeki RCE’lerin çoğu, MS SQL Server’ın çeşitli sürümlerini etkiliyor. NetSPI güvenlik danışmanı Will Bradle e-postayla yaptığı açıklamada, etkilenen diğer teknolojilerin arasında MS Office 2016, iOS için MS Defender, MS Excel 2016 ve Windows Server 2012, 2022 ve 2025’in yer aldığını söyledi.
Walters’a göre RCE’lerin en kritikleri arasında şunlar var: CVE-2024-43639 Windows Kerberos’ta. Hatanın CVSS ciddiyet puanı neredeyse 10 üzerinden 9,8’dir, çünkü diğer şeylerin yanı sıra, kimliği doğrulanmamış bir saldırgan bu hatadan uzaktan yararlanabilir. Microsoft, hatayı saldırganların yararlanma ihtimalinin daha düşük olduğu bir şey olarak değerlendirdi. Ancak bu nedenle onu ikinci plana atmak bir hata olabilir.
Walters, “Kerberos, Windows ortamlarının temel bir bileşenidir ve kullanıcı ve hizmet kimliklerinin doğrulanması açısından çok önemlidir” diye ekledi. “Bu güvenlik açığı, Kerberos’u yüksek değerli bir hedefe dönüştürerek, saldırganların Kerberos’un güvenli bir şekilde işleyemediği mesajları oluşturmak için kesme kusurundan yararlanmasına olanak tanıyor ve potansiyel olarak rastgele kod yürütülmesine olanak tanıyor.”
Bradle’ın işaret ettiği CVE-2024-49050 Visual Studio Code Python Uzantısı’nda bu ayki sette öncelikli ilgiyi hak eden başka bir RCE olarak yer alıyor. “Uzantının şu anda 139 milyondan fazla indirmesi var ve temel CVSS puanı 8,8 olan bir RCE güvenlik açığından etkileniyor” dedi. “Microsoft, VSCode uzantısına yama yaptı ve güncellemelerin hemen yüklenmesi gerekiyor.”
Immersive Labs’tan McCarthy ayrıca kuruluşların hızlı bir şekilde çözmeleri gereken birçok başka kusuru da tespit etti. Kritik olanları içerirler CVE-2024-43498 (CVSS 9.8), .NET ve Visual Studio’da bir RCE; CVE-2024-49019 (CVSS 7.8), bir Active Directory ayrıcalık yükseltme kusuru; CVE-2024-49033 (CVSS 7.5)bir Microsoft Word güvenlik atlama kusuru; Ve CVE-2024-43623 (CVSS 7.8), Windows NT işletim sistemi çekirdeğinde bulunan ve saldırganın etkilenen sistemlerde sistem düzeyinde erişim elde etmesine olanak tanıyan bir ayrıcalık yükseltme kusuru. Daha da önemlisi Microsoft, ikinci güvenlik açığını saldırganların yararlanma olasılığının daha yüksek olduğu bir güvenlik açığı olarak değerlendirdi.