Microsoft, 2024’ün ilk Salı Yaması etkinliğine damgasını vuran toplam 49 yeni yama yayımladı; bu yamalar, aralarında Windows Kerberos ve Windows Hyper-V’yi etkileyen iki kritik hatanın da bulunduğu, ancak sıfır gün veya Exchange sorunlarının bulunmadığı, ürün grubundaki çeşitli güvenlik açıklarını ele alıyor. .
Bu, Salı günü yaşanan nispeten hafif ikinci yama düşüşü; Microsoft, Aralık 2023’te yalnızca 30 sorunu ele aldı ve o dönemde de güvenlik ekipleri ve sistem yöneticilerine sorun yaratacak sıfır gün sorunu yaşanmadı.
İki kritik güvenlik açığı Windows Kerberos’ta CVE-2024-20674 ve Windows Hyper-V’de CVE-2024-20700 olarak izleniyor.
Bunlardan ilki, ortadaki adam (MITM) saldırısı veya başka bir ağ sahtekarlığı yöntemi yoluyla yararlanılabilen ve ardından kurbanın makinesine kötü amaçlı bir Kerberos mesajı gönderilebilen bir güvenlik özelliği atlama kusurudur. meşru Kerberos kimlik doğrulama sunucusu gibi davranarak kısıtlı sistemlerde ek ayrıcalıklar elde edin.
Qualys Tehdit Araştırma Birimi güvenlik açığı araştırmasından sorumlu ürün müdürü Saeed Abbasi, “Güvenlik açığı, saldırganın hedefle aynı yerel ağa erişmesini gerektiriyor” dedi. “İnternet üzerinden uzaktan yararlanılamaz ancak dahili ağa yakınlık gerektirir.
“Ayrıca bu ihlal, ele geçirilen sistemin güvenlik protokolleri tarafından doğrudan yönetilmeyen alanlara da yayılabilir. Yakın gelecekte aktif istismar girişimlerinin olma olasılığı yüksektir.
Abbasi, “Standart yama uygulamasının ötesinde, ağ izleme yeteneklerini geliştirmeyi düşünün” dedi. “Ağ trafiğinde bir MITM saldırısına veya yetkisiz Kerberos trafiğine işaret edebilecek olağandışı kalıpları veya anormallikleri arayın.”
İkinci kritik güvenlik açığı, Microsoft tarafından daha belirsiz bir şekilde açıklanan ve bir tehdit aktörünün başarılı bir şekilde yararlanmak için bir yarış koşulunu kazanmasına bağlı olduğundan istismar edilmesi daha zor görünen bir uzaktan kod yürütme (RCE) kusurudur. daha sonra başka ayrıcalıklara veya kullanıcı etkileşimine ihtiyaç duymaz.
Action1’in başkanı ve kurucu ortağı Mike Walters, güvenlik açığının hedeflenen sistemin gizliliği, bütünlüğü ve kullanılabilirliği üzerinde etkileri olduğunu söyledi.
“Sömürü, bir saldırganın Hyper-V ana bilgisayarının ayrıcalıklarıyla rastgele kod çalıştırmasına olanak tanıyarak tüm sistemin tehlikeye atılmasına neden olabilir” dedi.
“[But] İlk yayın itibarıyla, bu güvenlik açığından yararlanıldığına dair herhangi bir kamu açıklaması yapılmamış veya onaylanmış bir örnek bulunmamaktadır. Herhangi bir yararlanma kodunun olgunluğu henüz kanıtlanmamıştır.”
Benimle ortada buluş
Ocak ayı için özellikle dikkat edilmesi gereken üçüncü bir güvenlik açığı, Microsoft.Data.SqlClient ve System.Data.Sql Client SQL Data Provider’daki bir güvenlik özelliği atlama güvenlik açığı olan CVE-2024-0056 olarak izleniyor; MITM saldırısı yoluyla yararlanılabilen başka bir kusur; Bir tehdit aktörünün birbirleriyle iletişim kurduğunu düşünen iki sistem arasındaki mesajları yakaladığı senaryo.
Qualys’ten Abbasi, “Bir saldırgan, kötüye kullanılması durumunda güvenli TLS trafiğinin şifresini çözebilir, okuyabilir veya değiştirebilir, böylece verilerin gizliliğini ve bütünlüğünü ihlal edebilir” dedi. “Ayrıca saldırgan, SQL Veri Sağlayıcısı aracılığıyla SQL Server’ı istismar etmek için bundan yararlanabilir ve potansiyel olarak SQL Server’ın kendisini etkileyebilir.
“Bu güvenlik açığının başarıyla kullanılması, başlangıçta güvenliği ihlal edilen bileşenle sınırlı olmayabilir” dedi. “Bununla birlikte, saldırının yüksek karmaşıklığı, bu güvenlik açığından yararlanmanın karmaşık bir görev olduğu anlamına geliyor. Bu güvenlik açığından yararlanılması durumunda veri ihlallerine, veri bütünlüğünün tehlikeye atılmasına ve hassas bilgilere yetkisiz erişime yol açılabilir.”
Ek bir adım olarak Abbasi, savunuculara, güvenli ağ protokolleri, gelişmiş izleme ve daha sağlam güvenlik duvarı kuralları kullanarak MITM saldırılarını daha karmaşık hale getirmek için ağ güvenliğini güçlendirmelerini tavsiye etti.
Yolun sonu
Ocak 2024 Salı Yaması aynı zamanda bir dizi Microsoft ürün ve hizmetinin ana güvenlik desteğinden çıkıp genişletilmiş desteğe girdiği noktayı da işaret ediyor.
Bunlar arasında Exchange Server 2019, Hyper-V Server 2019, SharePoint Server 2019, Skype for Business 2019 istemcileri ve sunucuları, Dynamics SL 2018 ve Project Server 2019’un yanı sıra Windows 10’un parçaları yer alır: Enterprise LTSC 2019, IoT Core LTSC 2019, IoT LTSC 2019 Core, Windows Server 2019, Windows Server IoT 2019 ve Depolama için Windows Server IoT 2019.
“Uzatılmış destek yaşam döngüsü aşamasında Microsoft, güvenlik güncelleştirmeleri sağlamaya devam ediyor ancak genellikle yeni özellikler yayınlamıyor. Rapid7 baş yazılım mühendisi Adam Barnett, “Microsoft tüketici ürünleri için genişletilmiş destek mevcut değil” dedi.