Windows Görev Zamanlayıcı’da CVE-2024-49039 olarak tanımlanan kritik bir sıfır gün güvenlik açığı için bir kavram kanıtı (PoC) istismarı yayımlandı. Aktif olarak istismar edilen bu ayrıcalık yükseltme kusuru, dünya çapındaki Windows kullanıcıları için önemli bir tehdit oluşturuyor.
8,8 gibi yüksek bir CVSS puanı alan güvenlik açığı, saldırganların ayrıcalıklarını yükseltmesine ve etkilenen sistemlerde rastgele kod yürütmesine olanak tanıyor. Bu kusuru özellikle tehlikeli kılan şey, sıfır tıklamayla istismar edilme potansiyelidir; bu, bir saldırganın herhangi bir kullanıcı etkileşimi olmadan sistemi tehlikeye atabileceği anlamına gelir.
Güvenlik araştırmacıları, CVE-2024-49039’un istismarını RomCom olarak bilinen Rusya bağlantılı tehdit aktörüne bağladı.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Saldırı zinciri şu şekilde çalışır:
- Daha sonra Windows Görev Zamanlayıcı kusurundan (CVE-2024-49039) yararlanılarak tarayıcı sanal alanından çıkılır ve ayrıcalıklar yükseltilir.
- Son olarak, saldırganlara ele geçirilen sistem üzerinde tam kontrol sağlayan RomCom arka kapısı kurulur.
ESET araştırmacıları, 10 Ekim ile 4 Kasım 2024 tarihleri arasında potansiyel kurbanların öncelikle Avrupa ve Kuzey Amerika’da bulunduğunu ve bazı bölgelerde 250’ye kadar etkilenen hedefin rapor edildiğini bildirdi.
CVE-2024-49039’a yönelik bir PoC açığının yayınlanması, güvenlik uzmanları arasında endişelere yol açtı. GitHub’da yayınlanan istismar, güvenlik açığının kalıcılık ve ayrıcalık yükseltme için nasıl kullanılabileceğini gösteriyor. Hedef alıyor WPTaskScheduler.dll Windows’ta sürüm 10 1507’den beri mevcut olan bileşen.
PoC istismarı, kısıtlı token sanal alanlarını, alt süreç kısıtlamalarını atlama ve Orta Bütünlüğe yükselme yeteneğini sergiliyor. Belirli kısıtlı işlemlerden RPC bağlantıları kurmadaki zorluklar gibi bazı sınırlamalar mevcut olsa da araştırmacılar, ses ve GPU işlemlerini kullanarak başarılı geçişler yapıldığını kaydetti.
Microsoft, RPC Arayüzü Güvenliğini ayarlayan CVE-2024-49039 için bir yama yayımladı. WPTaskScheduler.dll. Yama artık erişim için en azından Orta Düzey Bütünlük gerektiriyor ve bu da saldırı yüzeyini önemli ölçüde azaltıyor.
Güvenlik uzmanları Windows kullanıcılarını ve yöneticilerini en son güvenlik güncellemelerini hemen uygulamaya çağırıyor. Ek olarak, aşağıdakiler de dahil olmak üzere derinlemesine savunma stratejilerinin uygulanmasını öneriyorlar:
- Tüm yazılım ve işletim sistemlerini güncel tutmak.
- Sağlam uç nokta koruma çözümlerinin uygulanması.
- Ağ bölümleme ve en az ayrıcalık ilkelerini kullanma.
- Düzenli güvenlik denetimleri ve sızma testleri yapmak.
Tehdit aktörleri sıfır gün güvenlik açıklarından yararlanmaya devam ederken, kuruluşların bu kritik kusurların oluşturduğu riskleri azaltmak için tetikte kalmaları ve yama yönetimine öncelik vermeleri gerekiyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın