Mayıs 2024 Salı Yaması için Microsoft, saldırganlar tarafından aktif olarak kullanılan iki sıfır gün (CVE-2024-30051, CVE-2024-30040) dahil olmak üzere 59 CVE numaralı güvenlik açığına yönelik düzeltmeler yayımladı.
CVE-2024-30051 ve CVE-2024-30040
CVE-2024-30051 Windows DWM Çekirdek Kitaplığını etkileyen ve saldırganların hedef sistemdeki ayrıcalıklarını yükseltmek için kullanılabilen yığın tabanlı bir arabellek taşması güvenlik açığıdır. Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SİSTEM ayrıcalıkları kazanabilir” dedi.
Kaspersky, DBAPPPSecurity WeBin Lab, Google Threat Analysis Group ve Google Mandiant’tan araştırmacıların bu durumu rapor ettiği düşünülüyor ve bundan yararlanan saldırıların yaygın olduğu tahmin ediliyor.
Buradaki ilginç şey, güvenlik açığını nasıl “keşfettikleri”: VirusTotal’a yüklenen bir dosyada açıklanmıştı.
“Bu belgede açıklanan yararlanma süreci, daha önce bahsedilen CVE-2023-36033 için sıfır gün istismarında kullanılanla aynıydı ancak güvenlik açığı farklıydı” dediler.
CVE-2024-30040 saldırganların OLE’yi atlamasına olanak tanıyan bir güvenlik açığıdır [Object Linking and Embedding] Microsoft 365 ve Microsoft Office’teki azaltımlar (yani, kullanıcıları kötü amaçlı dosyalardan koruyan güvenlik özellikleri).
Saldırganların bundan yararlanabilmesi için “kullanıcıyı, genellikle bir e-posta veya anlık mesajlaşma mesajı yoluyla, savunmasız bir sisteme kötü amaçlı bir dosya yüklemeye ikna etmesi ve ardından kullanıcıyı özel hazırlanmış dosyayı değiştirmeye ikna etmesi gerekir, ancak bu zorunlu değildir” kötü amaçlı dosyayı tıklayın veya açın,” Microsoft diyor.
“Bu güvenlik açığından başarıyla yararlanan, kimliği doğrulanmamış bir saldırgan, kullanıcıyı kötü amaçlı bir belge açmaya ikna ederek kod yürütme elde edebilir ve bu noktada saldırgan, kullanıcının bağlamında rasgele kod çalıştırabilir.”
Microsoft, güvenlik açığını kimin bildirdiğini söylemiyor veya bu güvenlik açığından yararlanılan saldırıların niteliğini açıklamıyor.
Dikkat edilmesi gereken diğer güvenlik açıkları
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, CVE-2024-30044… Bu ay giderilen tek kritik güvenlik açığı olan bu güvenlik açığı, bir saldırganın önce Site Sahibi izinlerine (veya daha yüksek) sahip güvenlik açığına sahip bir SharePoint Sunucusunda kimliğinin doğrulanmasını ve ardından ek adımlar atmasını gerektiriyor; bu da çoğu saldırganın takip ettiği gibi bu kusurun geniş çapta istismar edilmesi olasılığını azaltıyor en az direnişin yolu.”
“Kimliği doğrulanmış bir saldırgan, bu hatayı, SharePoint Farm hizmet hesabı kullanıcı ayrıcalıklarına sahip yerel dosyaları okumak için kullanabilir. Ayrıca HTTP tabanlı sunucu tarafı istek sahteciliği (SSRF) gerçekleştirebilirler ve en önemlisi, SharePoint Farm hizmet hesabı olarak NLTM aktarımı gerçekleştirebilirler,” Trend Micro’nun Sıfır Gün Girişimi tehdit farkındalığı başkanı Dustin Childs.
O da öne çıktı CVE-2024-30050saldırganların Windows Web İşareti (MotW) denetimleri tarafından sağlanan korumaları atlamalarına olanak tanıyan orta derecede ciddi bir güvenlik açığıdır.
“Ağ ve ana bilgisayar tabanlı savunmaları atlamak için yüklerini sıkıştırıyorlar. Microsoft Office’te SmartScreen veya Korumalı Görünüm’den kaçınmak için” diye açıkladı.
“Bu hatanın aktif olarak kullanıldığına dair hiçbir belirtimiz olmasa da, tekniğin onu ortaya çıkaracak kadar sık kullanıldığını görüyoruz. Bunun gibi hatalar, Orta dereceli hataların neden göz ardı edilmemesi veya önceliklendirilmemesi gerektiğini gösteriyor.”
0 Yorumlar