Microsoft, 2025 Salı günü son Yamasını işaretlemek için 71 yeni Ortak Güvenlik Açıkları ve Etkilenmeler (CVE’ler) için düzeltmeler yayınladı; bu düzeltmeler, ilgi odağı olan Windows Ortak Günlük Dosya Sistemi Sürücüsü aracılığıyla ayrıcalık yükseltmeye olanak tanıyan tek bir sıfır gün ile birlikte.
CVE-2024-49138 olarak atanan ve CrowdStrike’ın Gelişmiş Araştırma Ekibine atfedilen kusur, uygun olmayan sınır kontrolünün bir saldırganın yığındaki belleğin üzerine yazmasına olanak sağladığı yığın tabanlı arabellek taşmasından kaynaklanıyor.
Rastgele kod çalıştıran ve fidye yazılımı gibi daha derin ve daha etkili saldırıları gerçekleştirmek için kullanılabilecek sistem düzeyinde ayrıcalıklar elde eden bir saldırganın bu durumdan yararlanması nispeten önemsiz kabul edilir. Microsoft, CVE-2024-49138’in vahşi ortamda istismar edildiğini gözlemlediğini söyledi.
Yama yönetimi uzmanı Action1’in başkanı ve kurucu ortağı Mike Walters, “CLFS sürücüsü, uygulamalar tarafından işlem günlükleri yazmak için kullanılan temel bir Windows bileşenidir” dedi.
“Bu güvenlik açığı, sürücünün bellek yönetimini değiştirerek yetkisiz ayrıcalık yükselmesine olanak tanıyor ve bu da Windows’taki en yüksek ayrıcalık olan sistem düzeyinde erişimle sonuçlanıyor. Sistem ayrıcalıkları kazanan saldırganlar, güvenlik korumalarını devre dışı bırakmak, hassas verileri sızdırmak veya kalıcı arka kapılar kurmak gibi eylemler gerçekleştirebilir” dedi.
Walters, standart CLFS bileşenini kullanan 2008 yılına kadar uzanan herhangi bir Windows sisteminin bu kusura karşı savunmasız olduğunu ve hızlı bir şekilde ele alınmazsa bunun kurumsal ortamlarda potansiyel bir baş ağrısına yol açabileceğini açıkladı.
Ivanti güvenlik ürünlerinden sorumlu başkan yardımcısı Chris Goettl, “Güvenlik açığının yaygın olarak kullanıldığı doğrulandı ve güvenlik açığıyla ilgili bazı bilgiler kamuya açıklandı, ancak bu açıklama kod örneklerini içermeyebilir” dedi.
“CVE, Microsoft tarafından Önemli olarak derecelendirilmiştir ve CVSSv3.1 puanı 7,8’dir. Riske dayalı önceliklendirme, bu güvenlik açığını Kritik olarak derecelendirecek ve bu da bu ay Windows işletim sistemi güncellemesini en büyük önceliğiniz haline getirecek.”
Kritik sorunlar
Sıfır Gün Girişimi’nden Dustin Childs’ın gözlemlediği gibi, Microsoft’un 12 ay boyunca 1.000’den fazla hata düzeltmesi yaptığı bir yılda, 2020’den sonra şimdiye kadarki en yüksek ikinci hacim olan Aralık 2024, toplamda 16 olmak üzere oldukça yüksek miktarda Kritik güvenlik açığıyla öne çıkacak. ve hepsi, istisnasız, uzaktan kod yürütülmesine (RCE) yol açar.
Bu güvenlik açıklarından toplam dokuzu Windows Uzak Masaüstü Hizmetlerini etkilerken, üçü Windows Basit Dizin Erişim Protokolü’nde (LDAP), ikisi Windows Mesaj Kuyruğunda (MSMQ) ve birer tanesi de Windows Yerel Güvenlik Yetkilisi Alt Sistem Hizmetinde (LSASS) bulunuyor. ) ve Windows Hyper-V.
Bunlardan Windows LDAP’deki CVE-2024-49112 muhtemelen en yakın ilgiyi hak ediyor, 9,8 gibi ekstrem bir CVSS puanı taşıyor ve Windows 7 ve Server 2008 R2’den bu yana tüm Windows sürümlerini etkiliyor. Adres belirtilmeden bırakılırsa, kimliği doğrulanmamış bir saldırganın temel sunucuda RCE elde etmesine olanak tanır.
LDAP, genellikle bir Windows ağında Etki Alanı Denetleyicileri olarak görev yapan sunucularda görülür ve etki alanının çalışabilmesi için bu özelliğin bir ortamdaki diğer sunuculara ve istemcilere sunulması gerekir.
Immersive Labs baş güvenlik mühendisi Rob Reeves şöyle açıkladı: “Microsoft… saldırı karmaşıklığının düşük olduğunu ve kimlik doğrulamanın gerekli olmadığını belirtti. Ayrıca, bu hizmetin internet üzerinden veya güvenilmeyen ağlara maruz bırakılmasının derhal durdurulması gerektiğini tavsiye ediyorlar.
Reeves, “Bir saldırgan, LDAP hizmetine bir dizi özel çağrı yapabilir ve Sistem ayrıcalıklarıyla çalışacak olan hizmetin bağlamına erişim sağlayabilir” dedi.
“Makine hesabının Etki Alanı Denetleyicisi durumu nedeniyle, bunun saldırganın etki alanındaki tüm kimlik bilgileri karmalarına anında erişmesine olanak sağlayacağı değerlendiriliyor. Ayrıca, bir saldırganın bu hizmetten yararlanmak ve alan üzerinde tam kontrol elde etmek için bir etki alanı içindeki bir Windows ana bilgisayarına veya ağ içindeki bir dayanağa yalnızca düşük ayrıcalıklı erişim elde etmesi gerekeceği değerlendirilmektedir.
Reeves, Computer Weekly’ye, başta fidye yazılımı çeteleri olmak üzere tehdit aktörlerinin önümüzdeki günlerde bu kusura yönelik açıklardan yararlanmaya çalışacaklarını, çünkü Active Directory ortamındaki Etki Alanı Denetleyicisinin tam kontrolünü ele geçirmelerinin, söz konusu etki alanındaki tüm Windows makinelerine erişmelerini sağlayabileceğini söyledi. .
“Etki Alanı Denetleyicileri kullanan Windows ağlarını kullanan ortamlar, bu güvenlik açığını acilen düzeltmeli ve Etki Alanı Denetleyicilerinin kötüye kullanım işaretleri açısından aktif olarak izlenmesini sağlamalıdır” diye uyardı.
Ve nihayet
Son olarak, bu ay çok az dikkate alınan bir hata öne çıkıyor; Microsoft Muzic’te CVE-2024-49063 olarak takip edilen bir kusur.
Ivanti’den Goettl, “Microsoft Muzic AI projesi ilginç bir proje” dedi. “CVE-2024-49063, Microsoft Muzic’teki bir uzaktan kod yürütme güvenlik açığıdır. Bunu çözmek için CVE geliştiricilerinin uygulamalarını güncellemek üzere GitHub’un en son sürümünü alması gerekecek.”
Güvenlik açığı, güvenilmeyen verilerin seri durumdan çıkarılmasından kaynaklanıyor ve bir saldırganın yürütmek için kötü amaçlı bir yük oluşturması durumunda uzaktan kod yürütülmesine yol açıyor.
Projeye aşina olmayanlar için Microsoft Muzic, yapay zekayı (AI) kullanarak müziği anlama ve üretmeyi amaçlayan, devam eden bir araştırma projesidir. Projenin bazı özellikleri arasında otomatik şarkı sözü transkripsiyonu, şarkı yazma ve şarkı sözü oluşturma, eşlik oluşturma ve şarkı sesi sentezi yer alıyor.