Microsoft, Ocak 2024 için Salı Yaması güncellemelerinin bir parçası olarak yazılımındaki toplam 48 güvenlik açığını giderdi.
48 hatadan ikisi Kritik, 46’sı ise Önemli olarak derecelendirildi. Sorunların herhangi birinin kamuya açık olarak bilindiğine veya yayınlandığı sırada aktif saldırı altında olduğuna dair hiçbir kanıt yok, bu da onu sıfır gün içermeyen üst üste ikinci Salı Yaması yapıyor.
Düzeltmeler, Aralık 2023 Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında çözülen dokuz güvenlik açığına ek olarak geliyor. Bu aynı zamanda Google’ın vahşi doğada aktif olarak istismar edildiğini söylediği sıfır gün (CVE-2023-7024, CVSS puanı: 8,8) için bir düzeltmeyi de içeriyor.
Bu ay yamalanan kusurlardan en kritik olanları şunlardır:
- CVE-2024-20674 (CVSS puanı: 9,0) – Windows Kerberos Güvenlik Özelliği Güvenlik Açığı Atlama
- CVE-2024-20700 (CVSS puanı: 7,5) – Windows Hyper-V Uzaktan Kod Yürütme Güvenlik Açığı
Microsoft, CVE-2024-20674 için bir danışma belgesinde “Bu güvenlik açığı kimliğe bürünmeye izin verdiği için kimlik doğrulama özelliği atlanabilir” dedi.
“Kimliği doğrulanmış bir saldırgan, bir ortadaki makine (MitM) saldırısı veya başka bir yerel ağ sahtekarlığı tekniği oluşturarak bu güvenlik açığından yararlanabilir ve ardından kendisini Kerberos kimlik doğrulama sunucusu olarak taklit etmek için istemci kurbanın makinesine kötü amaçlı bir Kerberos mesajı göndererek bu güvenlik açığından yararlanabilir.”
Ancak şirket, başarılı bir şekilde yararlanmanın, saldırganın öncelikle kısıtlı ağa erişmesini gerektirdiğini belirtti. Güvenlik araştırmacısı ldwilmore34 kusuru keşfetme ve bildirme konusunda itibar kazandı.
Öte yandan CVE-2024-20700, uzaktan kod yürütmek için ne kimlik doğrulaması ne de kullanıcı etkileşimi gerektirmez; ancak bir yarış koşulunu kazanmak, bir saldırıyı düzenlemek için bir ön koşuldur.
Yazılım lideri Adam Barnett, “Saldırganın tam olarak nerede konumlandırılması gerektiği (hipervizörün bulunduğu LAN veya hipervizör tarafından oluşturulan ve yönetilen bir sanal ağ) veya uzaktan kod yürütmenin hangi bağlamda gerçekleşeceği açık değil” dedi. Rapid7’deki mühendis The Hacker News’e söyledi.
Diğer dikkate değer kusurlar arasında Ortak Günlük Dosya Sistemi (CLFS) sürücüsünü etkileyen bir ayrıcalık yükseltme kusuru olan CVE-2024-20653 (CVSS puanı: 7,8) ve Sistemi etkileyen bir güvenlik atlaması olan CVE-2024-0056 (CVSS puanı: 8,7) yer alır. Data.SqlClient ve Microsoft.Data.SqlClient.
Redmond, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, ortadaki makine (MitM) saldırısı gerçekleştirebilir ve istemci ile sunucu arasındaki TLS trafiğinin şifresini çözebilir, okuyabilir veya değiştirebilir.” dedi.
Microsoft ayrıca, uzaktan kod yürütülmesine yol açabilecek bir güvenlik açığı (CVE-2024-20677, CVSS puanı: 7,8) nedeniyle FBX dosyalarını Windows’ta Word, Excel, PowerPoint ve Outlook’a ekleme özelliğini varsayılan olarak devre dışı bıraktığını belirtti.
Microsoft ayrı bir uyarıda, “Daha önce bir FBX dosyasından eklenen Office belgelerindeki 3B modeller, ekleme sırasında ‘Dosyaya Bağlantı’ seçeneği seçilmediği sürece beklendiği gibi çalışmaya devam edecektir.” dedi. “GLB (İkili GL İletim Formatı), Office’te kullanım için önerilen alternatif 3D dosya formatıdır.”
ZScaler’ın Microsoft 365 uygulamalarında 117 güvenlik açığını keşfetmesinin ardından Microsoft’un Office’te SketchUp (SKP) dosya biçimini devre dışı bırakarak benzer bir adım attığını belirtmekte fayda var.
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: