Microsoft Corp. bugün 70’ten fazla güvenlik açığını kapatmak için yazılım güncellemelerini zorladı pencereler Aktif saldırılarda hâlihazırda istismar edilen iki sıfır gün güvenlik açığı da dahil olmak üzere işletim sistemleri ve ilgili ürünler.
Salı günü bu Yağ Yaması’ndaki yığının başında CVE-2024-21412 yer alıyor; bu, Microsoft’un aktif istismarlarda hedef alındığını söylediği Windows’un İnternet Kısayol Dosyalarını işleme biçiminde bir “güvenlik özelliği atlaması”dır. Redmond’un bu hataya yönelik tavsiyesi, bir saldırganın kullanıcıyı kötü amaçlı bir kısayol dosyasını açmaya ikna etmesi veya kandırması gerektiğini söylüyor.
Trend Micro’daki araştırmacılar, CVE-2024-21412’nin devam eden istismarını “” adlı gelişmiş bir kalıcı tehdit grubuna bağladılar.Su Hidra“, kötü amaçlı bir Microsoft Installer Dosyasını (.msi) yürütmek için güvenlik açığını kullandığını ve bu dosyanın da virüslü Windows sistemlerine uzaktan erişim truva atını (RAT) boşalttığını söylüyorlar.
Diğer sıfır gün kusuru CVE-2024-21351’dir; başka bir güvenlik özelliği atlatma özelliğidir; bu, yerleşik Windows SmartScreen Web’den indirilen potansiyel olarak kötü amaçlı dosyaları taramaya çalışan bileşen. Kevin Breen en Sürükleyici Laboratuvarlar Bu güvenlik açığının, bir saldırganın kullanıcının iş istasyonunu tehlikeye atması için tek başına yeterli olmadığını ve bunun yerine muhtemelen kötü amaçlı bir dosya gönderen hedef odaklı kimlik avı saldırısı gibi bir şeyle birlikte kullanılabileceğini dikkate almanın önemli olduğunu söylüyor.
Satnam Narangkıdemli personel araştırma mühendisi savunulabilir, bunun Windows SmartScreen’de 2022’den bu yana yamalanan beşinci güvenlik açığı olduğunu ve beşinin de sıfır gün olarak vahşi doğada istismar edildiğini söyledi. Bunlar arasında Aralık 2022’deki CVE-2022-44698, Mart 2023’teki CVE-2023-24880, Temmuz 2023’teki CVE-2023-32049 ve Kasım 2023’teki CVE-2023-36025 bulunmaktadır.
Narang, bir “ayrıcalık yükselmesi” hatası olan CVE-2024-21410’a özellikle dikkat çekti. Microsoft Exchange Sunucusu Microsoft’un saldırganlar tarafından suistimal edilmesinin muhtemel olduğunu söylüyor. Bu kusura yönelik saldırılar, NTLM aktarmasının bir parçası olarak kullanılabilen veya saldırganın oturum açmaya gerek kalmadan meşru bir kullanıcı gibi görünmesine olanak tanıyan “karmayı geçirme” saldırısının bir parçası olarak kullanılabilen NTLM karmalarının açığa çıkmasına yol açacaktır.
Narang, “NTLM karmaları gibi hassas bilgileri açığa çıkarabilecek kusurların saldırganlar için çok değerli olduğunu biliyoruz” dedi. “Rusya merkezli bir tehdit aktörü, saldırıları gerçekleştirmek için benzer bir güvenlik açığından yararlandı; CVE-2023-23397, Microsoft Outlook’ta Mart 2023’te yamalanan bir Ayrıcalık Yükselmesi güvenlik açığıdır.”
Microsoft, Exchange Server 2019 Toplu Güncelleştirme 14’ten (CU14) önce, Kimlik Doğrulama için Genişletilmiş Koruma (EPA) adı verilen ve NTLM kimlik bilgisi geçişi korumaları sağlayan bir güvenlik özelliğinin varsayılan olarak etkinleştirilmediğini belirtiyor.
Narang, “İleriye dönük olarak CU14 bunu Exchange sunucularında varsayılan olarak etkinleştiriyor, bu nedenle yükseltme yapmak önemli” dedi.
Rapid7’nin lider yazılım mühendisi Adam Barnett kritik bir uzaktan kod yürütme hatası olan CVE-2024-21413’ü vurguladı Microsoft Office Bu yalnızca Outlook Önizleme bölmesinde özel hazırlanmış bir iletinin görüntülenmesiyle kullanılabilir.
Barnett, “Microsoft Office genellikle dosyaları Korumalı Görünüm’de Web İşareti ile açarak kullanıcıları çeşitli saldırılara karşı koruyor; bu, Office’in belgeyi potansiyel olarak kötü amaçlı harici kaynaklar getirmeden oluşturacağı anlamına geliyor” dedi. “CVE-2024-21413, Office’te bir saldırganın, kullanıcı dosyaya güvenmeyi kabul etmiş gibi bir dosyanın düzenleme modunda açılmasına neden olmasına olanak tanıyan kritik bir RCE güvenlik açığıdır.”
Barnett, Microsoft Update dışında düzeltme ekleri uygulayan Office 2016 yüklemelerinden sorumlu yöneticilerin, CVE-2024-21413’ün iyileştirilmesini sağlamak için yüklenmesi gereken en az beş ayrı düzeltme eki tavsiye listesine dikkat etmesi gerektiğini vurguladı; bireysel güncelleme bilgi tabanı (KB) makaleleri ayrıca, kısmen yamalı Office yüklemelerinin, doğru düzeltme eki kombinasyonu yüklenene kadar başlatılmasının engelleneceğine dikkat çeker.
Windows son kullanıcılarının Microsoft’un güvenlik güncelleştirmeleriyle güncel kalması iyi bir fikirdir, aksi halde hızla birikebilir. Bu, onları Salı Yaması’nda yüklemeniz gerektiği anlamına gelmiyor. Aslında, güncellemelerin bazen ters gittiği ve genellikle Microsoft’un yamalarıyla ilgili sorunları birkaç gün içinde çözdüğü göz önüne alındığında, güncellemeden önce bir veya üç gün beklemek mantıklı bir yanıttır. Yeni güncellemeleri uygulamadan önce verilerinizi yedeklemeniz ve/veya Windows sürücünüzün görüntüsünü almanız da akıllıca olacaktır.
Microsoft’un bugün ele aldığı bireysel kusurların daha ayrıntılı bir dökümü için SANS Internet Storm Center’ın listesine göz atın. Daha büyük Windows ortamlarının bakımından sorumlu yöneticiler için, belirli Microsoft güncellemelerinin birçok kullanıcı için sorun yarattığına sıklıkla işaret eden Askwoody.com’u takip etmek genellikle işe yarar.