Saldırganlar Microsoft Güvenliğinden Yararlanarak Sıfır Gün Hatalarını Atlıyor


Microsoft’un Şubat ayı için planlanan Salı Yaması güvenlik güncellemesi, aktif saldırı altındaki iki sıfır gün güvenlik açığına yönelik düzeltmelerin yanı sıra, geniş bir ürün yelpazesindeki diğer 71 kusuru da içeriyor.

Microsoft’un Şubat ayı yamasını yayınladığı güvenlik açıklarından beşi toplamda kritik, 66’sı önemli ve ikisi orta düzeyde olarak derecelendirildi.

güncelleme yamaları içerir Microsoft Office, Windows, Microsoft Exchange Server, şirketin Chromium tabanlı Edge tarayıcısı, Azure Active Directory, Uç Nokta için Microsoft Defender ve İşletmeler için Skype için. Tenable 73 CVE’den 30’unu belirledi uzaktan kod yürütme (RCE) güvenlik açıkları olarak; 16 ayrıcalık yükseltmeyi mümkün kılıyor; 10 sahtekarlık hatalarına bağlı olarak; dokuzu dağıtılmış hizmet reddi saldırılarına olanak sağlıyor; beşi bilgi ifşa kusurları olarak; ve üçü güvenlik bypass sorunları olarak.

su Hydra, Finansal Yatırımcıları Hedef Alan Sıfır Günlerden Yararlanıyor

Water Hydra (diğer adıyla Dark Casino) olarak adlandırılan bir tehdit aktörü şu anda sıfır gün güvenlik açıklarından birinden yararlanıyor. İnternet Kısayol Dosyaları güvenlik özelliği güvenlik açığını atlıyor olarak takip edildi CVE-2024-21412 (CVSS 8.1) — finans sektöründeki kuruluşları hedef alan kötü niyetli bir kampanyada.

Kusuru keşfeden ve Microsoft’a bildiren birkaç kişi arasında yer alan Trend Micro’daki araştırmacılar, bunun daha önce yamalı bir SmartScreen güvenlik açığının atlanmasıyla bağlantılı olduğunu açıkladılar (CVE-2023-36025, CVSS 8.8) ve desteklenen tüm Windows sürümlerini etkilemektedir. Water Hydra aktörleri, finansal tüccarlara ait sistemlere ilk erişim sağlamak ve DarkMe uzaktan erişim Truva atını bu sistemlere bırakmak için CVE-2024-21412’yi kullanıyor.

Qualys’teki güvenlik açığı araştırmacısı yöneticisi Saeed Abbasi, e-postayla gönderilen yorumunda, bir saldırganın bu güvenlik açığından yararlanabilmesi için öncelikle hedeflenen kullanıcıya kötü amaçlı bir dosya göndermesi ve bu dosyayı açmasını sağlaması gerektiğini söyledi. Abbasi, “Bu güvenlik açığının etkisi derin, güvenliği tehlikeye atıyor ve SmartScreen gibi koruyucu mekanizmalara olan güveni baltalıyor.” dedi.

SmartScreen Sıfırıncı Gün Atlaması

Microsoft’un bu ayın güvenlik güncellemesinde açıkladığı diğer sıfır gün Defender SmartScreen’i etkiliyor. Microsoft’a göre, CVE-2024-21351 bir saldırganın SmartScreen korumalarını atlamasına ve potansiyel olarak uzaktan kod yürütme yetenekleri kazanmak için ona kod eklemesine olanak tanıyan orta önemde bir hatadır. Microsoft, başarılı bir istismarın sınırlı veri açığa çıkmasına, sistem kullanılabilirliği sorunlarına veya her ikisine birden yol açabileceğini söyledi. Hatayı tam olarak kimin ve hangi amaçla kullandığına dair hiçbir ayrıntı mevcut değil.

Action1’in başkanı ve kurucu ortağı Mike Walters, Dark Reading için hazırlanan yorumlarında, güvenlik açığının Microsoft’un Mark of the Web’in (İnternet’teki güvenilmeyen içeriği tanımlamaya yönelik bir özellik) SmartScreen özelliğiyle etkileşime girme biçimine bağlı olduğunu söyledi. Walters, “Bu güvenlik açığı için, bir saldırganın kullanıcıya kötü amaçlı bir dosya dağıtması ve onu açmaya ikna etmesi gerekir; böylece SmartScreen kontrollerini atlatabilir ve potansiyel olarak sistemin güvenliğini tehlikeye atabilir” dedi.

Yüksek Öncelikli Hatalar

Şubat güncellemesindeki beş kritik güvenlik açığı arasında öncelikli dikkat gerektiren güvenlik açığı CVE-2024-21410Saldırganların favori hedefi olan Exchange Server’daki bir ayrıcalık yükseltme güvenlik açığı. Saldırgan, bu hatayı kullanarak hedeflenen kullanıcının Net-Yeni Teknoloji LAN Yöneticisi (NTLM) sürüm 2 karmasını açığa çıkarabilir ve ardından bu kimlik bilgisini etkilenen bir Exchange Sunucusuna aktarabilir ve kullanıcı olarak kimlik doğrulaması yapabilir.

Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang yaptığı açıklamada, NTLM karmaları gibi hassas bilgileri açığa çıkaran bu gibi kusurların saldırganlar için çok değerli olabileceğini söyledi. “Rusya merkezli bir tehdit aktörü, saldırıları gerçekleştirmek için benzer bir güvenlik açığından yararlandı – CVE-2023-23397, Microsoft Outlook’ta Mart 2023’te yamalanan bir Ayrıcalık Yükselmesi güvenlik açığıdır” dedi.

Trend Micro, kusuru düzeltmek için Exchange yöneticilerinin Exchange Server 2019 Toplu Güncelleme 14 (CU14) güncellemesini yüklediklerinden ve Kimlik Doğrulama için Genişletilmiş Koruma (EPA) özelliğinin etkinleştirildiğinden emin olmaları gerektiğini söyledi. Güvenlik satıcısı şunu işaret etti: Microsoft’un yayınladığı makale Bu, güvenlik açığının nasıl düzeltileceğine ilişkin ek bilgi sağlar.

Microsoft, CVE-2024-21410’a 10 üzerinden 9,1’lik bir maksimum önem derecesi atamıştır; bu da onu kritik bir güvenlik açığı haline getirmektedir. Ancak Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen, tipik olarak ayrıcalık yükseltme güvenlik açıklarının CVSS güvenlik açığı derecelendirme ölçeğinde nispeten düşük puan alma eğiliminde olduğunu ve bunun sundukları tehdidin gerçek doğasını yalanladığını söyledi. “Düşük puanlara rağmen” [privilege escalation] Breen yaptığı açıklamada, güvenlik açıklarının tehdit aktörleri tarafından yoğun olarak araştırıldığını ve hemen hemen her siber olayda kullanıldığını söyledi. “Bir saldırgan, sosyal mühendislik veya başka bir saldırı yoluyla bir kullanıcı hesabına eriştiğinde, daha sonra izinlerini artırmaya çalışacaktır. yerel yöneticiye veya etki alanı yöneticisine.”

Action1’den Walters vurgulandı CVE-2024-21413Yöneticilerin Şubat ayındaki grupta öncelik vermek isteyebilecekleri bir güvenlik açığı olarak Microsoft Outlook’taki bir RCE kusuru. Maksimum önem puanı 9,8’e yakın olan kritik önem derecesi kusuru, saldırı karmaşıklığının düşük olmasını, kullanıcı etkileşiminin olmamasını ve bir saldırganın bundan yararlanması için özel ayrıcalıkların gerekmemesini içerir. Walters, “Bir saldırgan, Outlook’taki önizleme bölmesi aracılığıyla bu güvenlik açığından yararlanarak Office Korumalı Görünümü atlatmasına ve dosyaları daha güvenli korumalı mod yerine düzenleme modunda açılmaya zorlamasına olanak tanıyabilir” dedi.

Microsoft, bu güvenlik açığını saldırganların saldırma olasılığının daha düşük olduğu bir şey olarak tanımladı. Bununla birlikte Walters, güvenlik açığının kuruluşlar için önemli bir tehdit oluşturduğunu ve acil müdahale gerektirdiğini söyledi.





Source link