Yönetim ve Risk Yönetimi, Yama Yönetimi
Karmaşık Bir Güncelleme İşlemi Eski, Kullanılabilir Windows 10 Bileşenlerini Yeniden Yükledi
Mathew J. Schwartz (euroinfosec) •
11 Eylül 2024
Microsoft, Eylül ayındaki aylık dökümünde, vahşi saldırılar yoluyla daha önce istismar edilen üç sıfır günlük güvenlik açığını düzeltti. Ancak en önemli düzeltme, bazı Windows 10 makinelerinin güvenlik güncellemelerini geri almasına neden olan önceki bir güncellemeyi temizliyor.
Ayrıca bakınız: Proaktif Maruziyet Yönetimiyle Siber Güvenliği Dönüştürün
Geri alma güvenlik açığı yalnızca Windows 10 Enterprise 2015 LTSB ve IoT Enterprise 2015 LTSB sürümlerini etkiler. LTSB – kısaltması “uzun vadeli hizmet dalı” anlamına gelir – gerekli özelliklerin ve işlevselliğin değişmeyeceği daha özel ortamlarda kullanılmak üzere tasarlanmış, Windows’un basitleştirilmiş bir sürümüdür; örneğin, MRI ve CAT tarayıcıları gibi bazı tıbbi sistem türleri ve endüstriyel proses kontrolörleri ve hava trafik kontrol sistemleri gibi işletim teknolojisi ekipmanları.
Microsoft, “Bu cihazlar gömülü sistemlerin özelliklerini paylaşır: Genellikle belirli bir amaç için tasarlanırlar ve kullanımdan önce geliştirilir, test edilir ve onaylanırlar,” dedi. “Bütün bir sistem olarak ele alınırlar ve bu nedenle, genellikle yeni bir sistem inşa edip doğrulayarak, eski cihazı kapatarak ve yeni, onaylanmış cihazla değiştirerek ‘yükseltilirler’.”
Bilgisayar devi bu açığı CVE-2024-43491 olarak takip ediyor. Yama devre dışı bırakma, Windows 10’un 1507 sürümünü çalıştıran herhangi bir bilgisayarda potansiyel olarak gerçekleşmiş olabilir, ancak Microsoft Mayıs 2017’de Home ve Enterprise gibi bu Windows sürümünün diğer sürümlerini desteklemeyi bıraktı.
Bu açığın kaldırdığı güncelleştirmeler arasında Active Directory Lightweight Directory Services, Internet Explorer 11, Windows Faks ve Tarama ve Windows Media Player gibi Windows bileşenleri yer alıyor.
Microsoft, “Windows 10’un sonraki sürümlerinin hiçbiri bu güvenlik açığından etkilenmiyor” dedi ve bazı bileşenlerin önceki sürümlerinin daha önce saldırganlar tarafından hedef alındığını ekledi.
Microsoft, söz konusu açığı gidermek için etkilenen kullanıcıların önce bu ayın hizmet yığını güncelleştirmesini – SSU KB5043936 – ve ardından bu ayın Windows güvenlik güncelleştirmesini – bu sırayla – yüklemeleri gerektiğini söyledi.
Güvenlik firması Rapid7, bu güvenlik açığının iyi bir haber olmadığını, ancak saldırganların bunu kullanmış olma ihtimalinin düşük göründüğünü söyledi. “Microsoft, yanlışlıkla yamalanmamış güvenlik açıklarından en azından bazılarının istismar edildiğinin bilindiğini, ancak CVE-2024-43491’in kendisinin vahşi doğada istismar edildiğini görmediklerini ve kusurun Microsoft tarafından keşfedildiğini” belirtti.
Şirketten yapılan açıklamada, “Genel olarak, Windows 10 1507’yi hala çalıştıran birkaç kuruluş olmasına rağmen, çoğu yönetici bu konuda rahat bir nefes alabilir ve ardından diğer her şeyle ilgilenmeye geri dönebilir” denildi.
Düzeltme: 3 Aktif Olarak İstismar Edilen Sıfır Gün
İşletim sistemi devinin son Salı Yaması, toplamda 79 açığın giderilmesini sağladı. Bunlar arasında SharePoint, Windows Ağ Adresi Çevirisi ve saldırganların uzaktan kod çalıştırmak ve potansiyel olarak savunmasız bir sistemin tam kontrolünü ele geçirmek için kullanabilecekleri diğer işletim sistemi özelliklerindeki üç sıfır gün açığı ve yedi kritik güvenlik açığı da yer alıyor.
Microsoft’un Salı günü düzelttiği ve yaygın olarak kullanılan üç sıfır günlük güvenlik açığı şunlardır:
Windows Installer Ayrıcalık Yükseltme Güvenlik Açığı
Microsoft, CVE-2024-38014 olarak izlenen bu açığın nasıl çalıştığını ayrıntılı olarak açıklamadı, ancak istismarının kolay olduğunu ve kullanıcı etkileşimi gerektirmediğini söyledi. “Bu açığı başarıyla istismar eden bir saldırgan ‘sistem’ ayrıcalıkları elde edebilir,” dedi. Varsayılan olarak, bu onlara sistemde depolanan herhangi bir dosyaya tam erişim hakkı verirdi. Microsoft ayrıca bu açığı, bu yılın sonuna kadar genel kullanıma sunulması planlanmayan ancak yeni Copilot+ cihazlarına zaten yüklenmiş olarak gelen Windows 11, sürüm 24H2’de de düzeltti. “Bu cihazlara sahip müşterilerin makinelerini etkileyen herhangi bir güvenlik açığını bilmeleri ve otomatik güncellemeler almıyorlarsa güncellemeleri yüklemeleri gerekir,” dedi.
Windows Web Güvenlik Özelliği Baypas Güvenlik Açığı İşareti
Elastic Security Labs’tan Joe Desimone, bu güvenlik açığını keşfetti ve Microsoft’a bildirdi, CVE-2024-38217. 6 Ağustos tarihli bir blog yazısında, güvenlik açığının Windows’un nasıl ele aldığıyla bağlantılı olduğunu söyledi .lnk Saldırganların kötü amaçlı dosyaları ve uygulamaları engellemek için tasarlanmış olan Windows Akıllı Uygulama Denetimi ve SmartScreen’i atlatmak için kullanabileceği dosyalar.
Kusuru “LNK ezme” olarak adlandırdı ve “VirusTotal’da hatayı gösteren birden fazla örnek tespit ettik, bu da kusuru istismar etmek için tasarlanmış kötü amaçlı dosyaları içeren vahşi doğada mevcut kullanımı gösteriyor” dedi. Kusuru istismar etmek için tasarlanmış bir dosyanın bilinen en eski örneği Şubat 2018’den kalma, yani “bu gerçekten çok uzun zamandır kötüye kullanılıyor” dedi Rapid7.
Microsoft Publisher Güvenlik Özellikleri Güvenlik Açığını Aşıyor
Microsoft, CVE-2024-38226 olarak tespit edilen güvenlik açığından yararlanan bir saldırganın, “güvenilmeyen veya kötü amaçlı dosyaları engellemek için kullanılan Office makro politikalarını atlatmak” üzere tasarlanmış Microsoft Office savunmalarını aşabileceğini söyledi.
“Kimliği doğrulanmış bir saldırgan, sosyal mühendislik yoluyla kurbanı, bir web sitesinden özel olarak hazırlanmış bir dosyayı indirmeye ve açmaya ikna ederek bu güvenlik açığından yararlanabilir; bu da kurbanın bilgisayarına yerel bir saldırı yapılmasına yol açabilir” denildi.
Microsoft, saldırının Windows’un “önizleme bölmesi” üzerinden otomatik olarak tetiklenemeyeceğini ve sosyal mühendislik gerektirdiği için güvenlik açığına 7,3 CVSS puanı, yani “önemli” puanı verdiğini söyledi.
Ivanti ve Adobe’den Düzeltmeler
Adobe Salı günü, çeşitli ürünlerdeki 28 güvenlik açığını ele alan kendi yama paketini yayınladı. Güncellemeler Adobe’nin Photoshop, Illustrator, Premiere Pro, After Effects, Acrobat Reader, Audition, Media Encoder ve ColdFusion yazılımlarını yamalıyor. Satıcı, herhangi bir kusurun aktif olarak istismar edildiğini bilmediğini söyledi.
Ayrıca Salı günü Ivanti, Endpoint Manager – diğer adıyla EPM – 2024 ve 2022 SU6’daki, saldırganların EPM çekirdek sunucusuna yetkisiz erişim elde etmek için istismar edebileceği kritik güvenlik açıkları da dahil olmak üzere kusurları düzelttiğini söyledi. Şirket ayrıca Ivanti Workspace Control’deki altı yüksek önem dereceli güvenlik açığını gidermek için güncellemeler gönderdi.
Ivanti ayrıca Cloud Service Appliance sürüm 4.6’daki yüksek öneme sahip bir güvenlik açığını da düzeltti. CSA’nın bu sürümü kullanım ömrünün sonuna geldi, Ağustos’tan sonra herhangi bir hata düzeltmesi alması beklenmiyordu ve büyük ihtimalle bir daha asla güvenlik güncellemesi almayacak.
“Müşteriler sürekli destek için Ivanti CSA 5.0’a yükseltme yapmalı,” dedi satıcı. “CSA 5.0 desteklenen tek sürümdür ve bu güvenlik açığını içermez. Ivanti CSA 5.0’ı halihazırda çalıştıran müşterilerin ek bir işlem yapmasına gerek yoktur.”
Ivanti, “Bu güvenlik açıklarının vahşi doğada istismar edildiğine dair bir kanıtımız yok” dedi.
Şirket, güvenlik açığı keşiflerinin bir kısmının, artan iç kod incelemeleri temposundan kaynaklandığını söyledi. “Son aylarda, iç tarama, manuel istismar ve test yeteneklerimizi yoğunlaştırdık ve ayrıca olası sorunları derhal keşfedip çözebilmemiz için sorumlu ifşa sürecimizde iyileştirmeler yaptık,” dedi. “Bu, keşif ve ifşada bir artışa neden oldu ve CISA’nın, CVE’lerin sorumlu bir şekilde keşfedilmesi ve ifşa edilmesinin ‘sağlıklı kod analizi ve test topluluğunun bir işareti’ olduğu yönündeki açıklamasına katılıyoruz.”