Haziran 2024 Yaması Salı geldi ve Microsoft, kritik bir MSMQ kusuru (CVE-2024-30080) ve Microsoft Outlook’taki bir RCE güvenlik açığı (CVE-2024-30103) için düzeltmeler sağladı.
Toplamda 49 CVE numaralı güvenlik açığı düzeltildi ve bunların hiçbiri sıfır gün olarak istismar edilmedi.
CVE-2024-30080 ve CVE-2024-30103 hakkında
CVE-2024-30080 Microsoft Messenger Queuing’i (MSMQ) etkileyen serbest bir kusurdan sonra kullanılır ve kimliği doğrulanmamış saldırganlar tarafından özel hazırlanmış kötü amaçlı bir MSMQ paketinin bir MSMQ sunucusuna gönderilmesi yoluyla kullanılabilir. Başarılı bir şekilde kullanılması, uzaktan kod yürütülmesine (RCE) olanak tanıyacaktır.
Bu güvenlik açığından yalnızca Windows mesaj sıralama hizmetinin etkin olduğu Windows ve Windows Server kurulumlarında yararlanılabilse de, diğer yararlanma gereksinimlerinin (örn. önceki kimlik doğrulama, kullanıcı etkileşimi) bulunmaması kısmen Microsoft’un bu güvenlik açığını ortadan kaldırmasına neden oluyor.
Bu kusurun saldırganlar tarafından istismar edilmesinin “daha olası” olduğu belirtiliyor. Bu yüzden hızlı bir şekilde yama yapın veya savunmasız hizmeti devre dışı bırakın (gerekmiyorsa).
CVE-2024-30103Aynı zamanda RCE’ye yol açabilecek bir Microsoft Outlook güvenlik açığı olan .
Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, Outlook kayıt defteri engelleme listelerini atlayabilir ve kötü amaçlı DLL dosyalarının oluşturulmasına olanak sağlayabilir” dedi.
Trend Micro’nun Sıfır Gün Girişimi Tehdit Farkındalığı Başkanı Dustin Childs, “Açıkça belirtilmese de, saldırganlar büyük olasılıkla kötü amaçlı DLL dosyalarını kullanarak daha fazla tehlikeye atacak bir tür DLL ele geçirme işlemi gerçekleştirecektir” dedi.
“Burada iyi haber şu ki, saldırganın bu saldırıyı gerçekleştirmek için geçerli Exchange kimlik bilgilerine ihtiyacı olacak. Kötü haber şu ki, istismar Önizleme Bölmesinde meydana gelebilir. Kimlik bilgilerinin yer altı forumlarında ne sıklıkla satıldığını göz önüne alırsak, bu düzeltmeyi göz ardı etmem.”
Güvenlik açığı, Morphisec araştırmacıları Michael Gorelik ve Shmuel Uzan tarafından keşfedildi. Etkilenen bir e-posta açıldığında yürütme başlatıldığından, bu güvenlik açığının özellikle Microsoft Outlook’un otomatik e-posta açma özelliğini kullanan hesaplar için tehlikeli olduğu belirtildi.
Teknik ayrıntıları ve PoC istismarını Ağustos başında DEFCON 32 konferansında yayınlamayı planlıyorlar.
Dikkat edilmesi gereken diğer güvenlik açıkları
CVE-2024-30078 Windows Wi-Fi sürücüsünü etkileyen bir RCE hatasıdır.
“Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın, hedefe özel hazırlanmış bir ağ paketi göndererek etkilenen sistemde kod yürütmesine olanak tanır. Açıkçası, hedefin saldırganın Wi-Fi kapsama alanında olması ve bir Wi-Fi bağdaştırıcısı kullanması gerekiyor, ancak tek sınırlama bu,” diye açıkladı Childs ve hatanın “muhtemelen saldırganların ve saldırganların çok fazla dikkatini çekeceğini” söyledi. kırmızı takımlar birbirine benzer.
Automox’un CISO’su ve Üründen Sorumlu Kıdemli Başkan Yardımcısı Jason Kikta, Help Net Security’ye bu güvenlik açığının özellikle endişe verici olduğunu çünkü saldırganların fiziksel erişim olmadan hedefin sistemi üzerinde kontrol sahibi olmasına olanak sağladığını söyledi.
“Doğası göz önüne alındığında, bu güvenlik açığı oteller, ticari fuarlar veya çok sayıda cihazın Wi-Fi ağlarına bağlandığı herhangi bir yer dahil olmak üzere uç nokta yoğun ortamlarda önemli bir risk oluşturuyor” dedi.
CVE-2024-30072 Kötü amaçlı bir Microsoft Olay İzleme Günlüğü dosyasının açılmasıyla tetiklenebilecek bir başka ilginç RCE güvenlik açığıdır.
Kıdemli AppSec mühendisi Henry Smith, “BT ekiplerinin kullanıcı sistemlerinde hata ayıklamak için Olay İzleme Günlüğü dosyalarını kullanmasının yaygınlığı ve genellikle BT destek rolleriyle ilişkilendirilen yüksek ayrıcalıklar göz önüne alındığında, bu güvenlik açığından yararlanılması, saldırganlara hassas sistemlere önemli erişim sağlayabilir” dedi. Automox.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang öne çıktı CVE-2024-30089 Microsoft Akış Hizmeti’nde hızlı bir düzeltmeye değer bir ayrıcalık yükselmesi kusuru.
Microsoft’un bu güvenlik açığını “Kullanım Olasılığı Daha Yüksek” olarak etiketlediğine dikkat çekti ve bu güvenlik açığının Microsoft’a, CVE-2023-36802 adlı başka bir Microsoft Streaming Service ayrıcalık yükseltme kusurunu açıklayan aynı güvenlik araştırmacısı tarafından açıklandığı belirtildi. Eylül 2023 Yaması (saldırganlar tarafından istismar edilmişti).
0 Yorumlar