Microsoft, aylık güvenlik güncellemelerinin bir parçası olarak toplam 143 güvenlik açığını gideren yamalar yayınladı; bunlardan ikisi, gerçek hayatta aktif olarak istismara uğradı.
143 kusurdan beşi Kritik, 136’sı Önemli ve dördü Orta şiddette olarak derecelendirilmiştir. Düzeltmeler, Chromium tabanlı Edge tarayıcısında geçen ay giderilen 33 güvenlik açığına ektir.
İstismar edilen iki güvenlik açığı aşağıdadır:
- CVE-2024-38080 (CVSS puanı: 7.8) – Windows Hyper-V Ayrıcalık Yükseltme Güvenlik Açığı
- CVE-2024-38112 (CVSS puanı: 7.5) – Windows MSHTML Platform Sahteciliği Güvenlik Açığı
Microsoft, CVE-2024-38112 için “Bu güvenlik açığının başarılı bir şekilde istismar edilmesi, saldırganın hedef ortamı hazırlamak için istismardan önce ek eylemler gerçekleştirmesini gerektirir” dedi. “Bir saldırganın kurbana, kurbanın yürütmesi gereken kötü amaçlı bir dosya göndermesi gerekir.”
Mayıs 2024’te açığı keşfedip bildiren Check Point güvenlik araştırmacısı Haifei Li, tehdit aktörlerinin, tıklandığında kurbanları emekliye ayrılmış Internet Explorer (IE) tarayıcısını çağırarak kötü amaçlı bir URL’ye yönlendiren özel olarak hazırlanmış Windows İnternet Kısayolu dosyalarından (.URL) yararlandığını söyledi.
“IE’de ek bir hile, kötü amaçlı .HTA uzantı adını gizlemek için kullanılır,” diye açıkladı Li. “URL’yi Windows’taki modern ve çok daha güvenli Chrome/Edge tarayıcısı yerine IE ile açarak, saldırgan kurbanın bilgisayarını istismar etmede önemli avantajlar elde etti, bilgisayar modern Windows 10/11 işletim sistemini çalıştırıyor olsa bile.”
“CVE-2024-38080, Windows Hyper-V’de bir ayrıcalık yükseltme kusurudur,” diyor Tenable’da kıdemli personel araştırma mühendisi olan Satnam Narang. “Yerel, kimliği doğrulanmış bir saldırgan, hedeflenen bir sistemin ilk ele geçirilmesinin ardından ayrıcalıkları SİSTEM düzeyine yükseltmek için bu güvenlik açığından yararlanabilir.”
CVE-2024-38080’in kötüye kullanımıyla ilgili kesin ayrıntılar henüz bilinmemekle birlikte Narang, bunun 2022’den bu yana yaygın olarak istismar edilen 44 Hyper-V açığının ilki olduğunu belirtti.
Microsoft tarafından düzeltilen diğer iki güvenlik açığı, yayın sırasında kamuoyuna açık olarak listelenmiştir. Bunlar arasında, bir saldırganın Arm tabanlı sistemlerde çalışan ayrıcalıklı bir işlemden yığın belleğini görüntülemesini sağlayabilecek FetchBench (CVE-2024-37985, CVSS puanı: 5.9) adlı bir yan kanal saldırısı yer almaktadır.
Söz konusu kamuoyuna açıklanan ikinci güvenlik açığı ise .NET ve Visual Studio’yu etkileyen uzaktan kod yürütme hatası olan CVE-2024-35264’tür (CVSS puanı: 8.1).
Redmond bir danışma yazısında “Bir saldırgan, istek gövdesi işlenirken bir http/3 akışını kapatarak bunu istismar edebilir ve bu da bir yarış durumuna yol açabilir,” dedi. “Bu, uzaktan kod yürütülmesine yol açabilir.”
Ayrıca Salı Yaması güncellemelerinin bir parçası olarak SQL Server Yerel İstemci OLE DB Sağlayıcısını etkileyen 37 uzaktan kod yürütme hatası, 20 Güvenli Önyükleme güvenlik özelliği atlama açığı, üç PowerShell ayrıcalık yükseltme hatası ve RADIUS protokolünde bir kimlik sahtekarlığı açığı (CVE-2024-3596 veya diğer adıyla BlastRADIUS) çözüldü.
“[The SQL Server flaws] Rapid7’nin Ürün Yöneticisi Greg Wiseman, “Bu durum özellikle OLE DB Sağlayıcısını etkiliyor, bu yüzden sadece SQL Server örneklerinin güncellenmesi gerekmiyor, aynı zamanda bağlantı sürücüsünün güvenlik açığı olan sürümlerini çalıştıran istemci kodunun da ele alınması gerekiyor” dedi.
“Örneğin, bir saldırgan, kimliği doğrulanmış bir kullanıcıyı kötü amaçlı veriler döndürecek şekilde yapılandırılmış bir SQL Server veritabanına bağlanmaya zorlamak için sosyal mühendislik taktiklerini kullanabilir ve istemcide keyfi kod yürütülmesine izin verebilir.”
Uzun yama listesini tamamlayan hata ise Microsoft Office’te bulunan ve başarılı bir şekilde istismar edilmesi durumunda saldırganın okuma, yazma ve silme işlevleri de dahil olmak üzere yüksek ayrıcalıklar elde etmesine olanak tanıyan CVE-2024-38021 (CVSS puanı: 8,8) adlı uzaktan kod yürütme hatasıdır.
Açığı 2024 yılının nisan ayı sonlarında Microsoft’a bildiren Morphisec, açığın herhangi bir kimlik doğrulaması gerektirmediğini ve sıfır tıklama özelliği nedeniyle ciddi bir risk oluşturduğunu söyledi.
Michael Gorelik, “Saldırganlar bu güvenlik açığını kullanarak yetkisiz erişim elde edebilir, keyfi kod çalıştırabilir ve herhangi bir kullanıcı etkileşimi olmadan önemli hasara yol açabilir,” dedi. “Kimlik doğrulama gereksinimlerinin olmaması, yaygın bir şekilde istismara kapı açtığı için bunu özellikle tehlikeli hale getiriyor.”
Düzeltmeler, Microsoft’un geçen ayın sonlarında şeffaflığı artırmak amacıyla bulutla ilgili güvenlik açıkları için CVE tanımlayıcıları yayınlamaya başlayacağını duyurmasının ardından geldi.
Diğer Satıcılardan Yazılım Yamaları
Microsoft’a ek olarak, son birkaç haftada diğer satıcılar tarafından da çeşitli güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri yayınlandı; bunlar arasında şunlar yer alıyor: