Microsoft’un Nisan 2024’teki en son Yaması, üçü kritik olarak sınıflandırılan 155 güvenlik açığını kapsıyor. Güncelleme, “önemli önem derecesi” olarak sınıflandırılan 145 tanesini içeriyor.
Ayrıca, Windows masaüstünü ve sunucu işletim sistemlerini etkileyen Proxy Sürücüsü Kimlik Sahtekarlığı Güvenlik Açığı (CVE-2024-26234) için bir acil durum yaması da bulunmaktadır. Microsoft, desteğin 14 Ocak 2020’de sona erdiği Windows Server 2008 de dahil olmak üzere işletim sisteminin kullanım ömrü sonu sürümleri için güvenlik yamaları yayımladı.
Rapid7, CVE-2024-26234’e ilişkin danışma belgesini ilk olarak yayınladığında Microsoft’un, yaygın kullanımdan veya kamuya açık istismardan haberdar olduğunu belirtmediğini belirtti. Ancak yayınlandığı günün ilerleyen saatlerinde Microsoft, danışma belgesini hem açıktan yararlanma hem de kamuya ifşa konusundaki farkındalığı kabul edecek şekilde güncelledi.
Nesnelerin interneti (IoT) ve operasyonel teknoloji (OT) cihazlarının izlenmesine yönelik Azure tarafından dağıtılabilir aracısız araç olan IoT için Microsoft Defender, en son Salı Yaması güncellemesinde ele alınan üç kritik güvenlik açığına sahiptir.
Güncelleme, araçtaki üç kritik uzaktan kod yürütme (RCE) güvenlik açığını düzeltiyor. İlk yararlanma, saldırganın Defender for IoT web uygulamasına mevcut yönetim erişimine sahip olmasını gerektirir.
Qualys, üç kritik güvenlik açığını tartışan bir blogda, CVE-2024-21323 güvenlik açığı için bir saldırganın güvenlik açığından yararlanabilmesi için web uygulamasının yöneticisi olması gerektiğini belirtti. Güvenlik açığından başarıyla yararlanılması, hedef sistemlerde uzaktan kod yürütülmesine yol açabilir. CVE-2024-29053 ayrıca yönetici erişimi gerektirir.
Qualys, bu yol geçiş güvenlik açığının başarılı bir şekilde kullanılmasının, dosya yükleme özelliğine erişimi olan, kimliği doğrulanmış bir saldırganın sunucudaki hassas konumlara kötü amaçlı dosyalar yüklemesini gerektirdiğini söyledi.
Diğer iki saldırı vektörü gibi Microsoft Defender’ın IoT için üçüncü kritik güvenlik açığı olan CVE-2024-21323 de yönetici hakları gerektiriyor. Qualysy, bir saldırganın Defender for IoT sensörüne bir tar (teyp arşivi) dosyası göndermesi gerektiğini söyledi. Bu, verileri sıkıştırmak için kullanılan bir dosya biçimidir.
Dosyanın sıkıştırılmamış olduğu çıkarma işleminden sonra saldırgan, imzasız güncelleme paketleri gönderebilir ve seçtiği herhangi bir dosyanın üzerine yazabilir. Qualys blog yazısında, saldırganın öncelikle kendi kimliğini doğrulaması ve güncelleme sürecini başlatmak için gerekli izinleri alması gerektiğini açıkladı.
Yama Salı güncellemesi, Defender for IoT’deki kritik güvenlik açıklarının yanı sıra, CVE-2024-29988 için bir yama içerir. Bu, SmartScreen’e yönelik güvenlik atlama güvenlik açığını giderir. Defender SmartScreen, kullanıcıların kötü amaçlı yazılım ve kimlik avı gibi çevrimiçi tehditlerden korunmasına yardımcı olan bir Windows özelliğidir.
Bunu, web sitelerini ve indirilen dosyaları, güvenli olmayan web sitelerinden oluşan bir veritabanında kontrol ederek yapar. Lansweeper’ın CVE-2024-29988’i kapsayan blog gönderisi, bir saldırganın bu güvenlik özelliğinden yararlanarak güvenlik açığını aşmak için kullanıcı arayüzü olmayan bir başlatıcı uygulaması kullanarak kullanıcıyı kötü amaçlı dosyaları başlatmaya ikna etmesi gerektiğini bildirdi.
Lansweep blog yazısında “CVE-2024-29988’in CVSS puanı 8,8’dir ve Microsoft bunu istismar edilme olasılığı daha yüksek olan güvenlik açıklarından biri olarak listelemektedir” dedi.