Microsoft, Temmuz ayında yayınladığı güvenlik güncelleştirmesiyle yöneticilere çok iş yükledi. Güncelleştirmede saldırganların aktif olarak istismar ettiği iki ve kamuoyunun bildiği ancak şimdilik istismar edilmeyen bir güvenlik açığı da dahil olmak üzere 139 benzersiz CVE için yamalar yer alıyor.
Temmuz güncellemesi daha fazla güvenlik açığı için düzeltmeler içerir öncesi iki aylık sürümler birleştirilmiş ve giderilmemiş sorunları ele alarak uzaktan kod yürütme, ayrıcalık yükseltme, veri hırsızlığı, güvenlik özelliği atlama ve diğer kötü amaçlı etkinlikleri etkinleştirebilir. Güncelleme, biri kamuoyunda bilinen bir Intel mikroişlemci güvenlik açığı olan dört Microsoft dışı CVE için yamalar içeriyordu.
Ayrıntıların Eksikliği Sıfır Günleri Düzeltme Aciliyetini Artırıyor
Sıfır günlük güvenlik açıklarından biri (CVE-2024-38080) Microsoft’un Windows Hyper-V sanallaştırma teknolojisini etkiler ve kimliği doğrulanmış bir saldırganın etkilenen sistemlerde sistem düzeyinde ayrıcalıklara sahip kod yürütmesine olanak tanır. Microsoft, bu güvenlik açığını istismar edilmesi kolay ve istismar için özel ayrıcalıklar veya kullanıcı etkileşimi gerektirmeyen bir güvenlik açığı olarak değerlendirmiş olsa da, şirket buna 10 puanlık CVSS ölçeğinde yalnızca orta düzeyde — veya önemli — 6,8’lik bir önem derecesi vermiştir.
Microsoft, her zamanki gibi, sürüm notlarında kusur hakkında yetersiz bilgi verdi. Ancak saldırganların kusuru halihazırda aktif olarak istismar ediyor olması, Immersive Labs’ın kıdemli tehdit araştırma direktörü Kev Breen’in e-postayla gönderdiği bir yorumda belirttiği gibi, şimdi düzeltme yapmak için yeterli bir sebep. “Tehdit avcıları, bu güvenlik açığından dolayı daha önceden tehlikeye girip girmediklerini belirleyebilmeleri için ek ayrıntılardan faydalanabilirler,” dedi.
Diğer sıfır günlük hata, şu şekilde izlendi: CVE-2024-38112, Windows MSHTML Platformunu (diğer adıyla Trident tarayıcı motoru) etkiler ve benzer şekilde orta düzeyde bir CVSS önem derecesi olan 7.0’a sahiptir. Microsoft, hatayı bir saldırganın yalnızca bir kullanıcıyı kötü amaçlı bir bağlantıya tıklamaya ikna ederek istismar edebileceği bir sahtecilik güvenlik açığı olarak tanımladı.
Bu açıklama, bazılarının temsil ettiği tehdidin gerçek doğası hakkında merakta kalmasına neden oldu. “Bu hata, etki için ‘sahtecilik’ olarak listeleniyor, ancak tam olarak neyin sahtecilik olduğu açık değil,” diye yazdı Trend Micro’nun Zero Day Initiative (ZDI) tehdit farkındalığı başkanı Dustin Childs bir blog yazısında“Microsoft bu ifadeyi geçmişte NTLM röle saldırıları için kullanmıştı, ancak burada bunun pek olası olmadığı görülüyor.”
Immersive Labs’ın baş siber güvenlik mühendisi Rob Reeves, Microsoft’un yetersiz açıklamasına dayanarak, bu güvenlik açığının uzaktan kod yürütmeyi mümkün kılma olasılığının yüksek olduğunu ancak potansiyel olarak istismarının karmaşık olduğunu belirtti. “Sömürü ayrıca hedef ana bilgisayarda istismarlar veya programatik değişikliklerden oluşan bir ‘saldırı zinciri’ kullanımını da gerektirir,” dedi hazırlanmış yorumlarında. “Ancak Microsoft’tan veya orijinal muhabirden daha fazla bilgi olmadan… belirli bir rehberlik vermek zor.”
Diğer Yüksek Öncelikli Hatalar
Microsoft’un Temmuz güncellemesinden önce kamuoyu tarafından bilinen ve dolayısıyla teknik olarak sıfır günlük kusurlar olan iki hata şunlardır: CVE-2024-35264.Net ve Visual Studio’da uzaktan kod yürütme güvenlik açığı ve CVE-2024-37985, Bu aslında Microsoft’un kendi sürümüne entegre ettiği üçüncü taraf (Intel) bir CVE’dir.
Microsoft, muazzam güncellemesindeki kusurlardan yalnızca dördünü kritik önemde olarak derecelendirdi. Bunlardan üçü, her biri 10 üzerinden 9,8’lik maksimum önem derecesine yakın bir değere sahip olup, uzak masaüstü hizmetleri için istemci erişim lisanslarını (CAL’ler) yöneten Windows Uzak Masaüstü Lisanslama Hizmeti bileşenini etkiliyor. CVE-2024-38076, CVE-2024-38077, Ve CVE-2024-38089hepsi uzaktan kod yürütmeyi etkinleştirir ve bu ay önceliklendirilecek hatalar listesinde en üstte olmalıdır. Child, gönderisinde “Bunun istismarı basit olmalıdır, çünkü kimliği doğrulanmamış herhangi bir kullanıcı, etkilenen bir sunucuya kötü amaçlı bir mesaj göndererek kodunu yürütebilir,” dedi.
Microsoft, kuruluşların kullanmadıkları takdirde Uzak Masaüstü Lisanslama Hizmetini devre dışı bırakmalarını istiyor. Şirket ayrıca, kuruluşların hizmeti devre dışı bırakmayı planlasalar bile üç güvenlik açığı için yamaları hemen yüklemelerini öneriyor.
Bu ayki Microsoft güvenlik güncellemesinde kaşları kaldıran bir husus, Microsoft SQL Server’ı etkileyen benzersiz CVE sayısıdır — yaklaşık 39 veya açıklanan 139 güvenlik açığının dörtte birinden fazlası. Fortra’da güvenlik Ar-Ge’nin yardımcı direktörü Tyler Reguly, “Neyse ki hiçbiri CVSS puanlarına göre kritik değil ve hepsi ‘Daha Az İstismar Olasılığı’ olarak listeleniyor,” diyor. “Bu kurtarıcı lütuflara rağmen, SQL Server müşterilerinin yama yapmak isteyeceği çok sayıda CVSS 8.8 güvenlik açığı var,” diye belirtti.
Son aylardaki eğilim olduğu gibi, bu ayki güncellemede 20 ayrıcalık yükseltme (EoP) hatası vardı ve bu sayı uzaktan kod yürütme güvenlik açıklarından (18) biraz daha fazlaydı. Microsoft ve diğer yazılım satıcıları genellikle EoP hatalarını genel olarak uzaktan kod yürütme güvenlik açıklarından daha az ciddi olarak değerlendirme eğiliminde olsalar da, güvenlik araştırmacıları güvenlik ekiplerinin her ikisine de eşit derecede dikkat etmesi gerektiğini savundu. Bunun nedeni, ayrıcalık yükseltme hatalarının genellikle saldırganların etkilenen sistemlerin tam yönetici kontrolünü ele geçirmesine ve uzaktan keyfi kod çalıştırarak yapacakları türden bir tahribat yaratmasına izin vermesidir.