Zephyrnet Logosu

Üretken Veri Zekası

Siber güvenlik

Microsoft Yaması Salı Tsunamisi: Sıfır Gün Yok, Ama Yıldız İşareti

Plato tarafından yeniden yayınlandı
Plato tarafından yeniden yayınlandı

Tarih:

Görüntüleme: 118

Microsoft, sıfır gün yaması içermeyen bu ayki Salı Yaması sürümleriyle kendini aştı; ancak yamalardan en az biri halihazırda aktif olarak istismar edilen bir kusuru gideriyor.

En son Salı Yaması güncellemelerinden etkilenen ürünler arasında Windows ve Windows Bileşenleri; Azure; .NET Çerçevesi ve Visual Studio; SQL Server; Dns sunucusu; Windows Defender'ı; Bit kilitleyici; ve Windows Güvenli Önyükleme.

Microsoft'un Nisan güncellemesi, üçü "Kritik" olarak derecelendirilen, 147'si "Önemli" olarak kategorize edilen ve ikisi de ciddiyet açısından "Orta" olarak listelenen 142 CVE'yi içeriyordu. Üçüncü taraf kusurları da dahil edilirse bu sayı 155 CVE'ye çıkıyor. Bu rakam, Salı Yaması düzeltmeleri için rekor düzeyde bir rakamı temsil ediyor.

Tenable'ın kıdemli personel araştırmacı mühendisi Satnam Narang yaptığı açıklamada, "Microsoft, Nisan ayında 147 CVE'yi yamaladı; bu, 2017'de bu verileri izlemeye başladığımızdan bu yana bir ay içinde yamalanan en büyük CVE sayısıydı" dedi. "En son 100'den fazla CVE yaması uygulandığında Microsoft'un 2023 CVE'yi ele aldığı Ekim 103'tü." Narang, önceki en yüksek seviyenin 2023 CVE'nin yamalandığı Temmuz 130'te olduğunu ekledi.

Microsoft, Nisan Yaması Salı günkü CVE'lerinin hiçbirinin sıfır gün tehdidi olduğunu belirtmedi; bu, geçen yılki sıfır gün açıklamalarının canlı klibinden hoş bir sapmaydı.

Narang, "Geçen yılın bu zamanlarında vahşi doğada istismar edilen yedi sıfır gün güvenlik açığı vardı" dedi. Bu yıl yalnızca iki sıfır gün istismar edildi ve ikisi de Şubat ayındaydı. "Bu düşüşü neden gördüğümüzü tam olarak belirlemek zor; bu sadece görünürlük eksikliğinden mi, yoksa saldırganların kuruluşlara yönelik saldırılarının bir parçası olarak bilinen güvenlik açıklarından yararlanma eğilimine işaret etmesinden mi kaynaklanıyor?"

Ancak Sıfır Gün Girişimi'nden Dustin Childs, Nisan ayında yaptığı açıklamada şunları kaydetti: Microsoft Patch Salı analizi kuruluşunun bu ayın düzeltmeleri listesinde bilinen bir kusurun istismar edildiğine dair kanıt bulunduğunu söyledi.

Salı Yaması Öncelik Verilecek Düzeltmeler

Childs, SmartScreen İstemi Güvenlik Özelliğini Atlama'daki maksimum önem derecesine sahip güvenlik açığına dikkat çekti (CVE-2024-29988) CVSS puanı 8.8 olan bu durum ZDI tarafından keşfedildi ancak Microsoft'un Salı Yaması güncellemesinde istismar olarak listelenmedi.

Childs, "Ancak ZDI tehdit avcısı Peter Girrus'un bildirdiği hata ortada bulundu" diye ekledi. "Bunun vahşi doğada istismar edildiğine dair kanıtlarımız var ve ben bunu bu şekilde sıralıyorum."

Uzaktan Yordam Çağrısı Çalışma Zamanı Uzaktan Kod Yürütme Güvenlik Açığı'nı etkileyen bir başka maksimum önem derecesine sahip hata (CVE-2024-20678) 8.8 CVSS puanı aldı ve bu ay Microsoft tarafından yamalandı.

Bir kimlik sahtekarlığı güvenlik açığı (CVE-2024-20670Temel CVSS 8.1 ile maksimum önem derecesi olarak listelenen sorun, Windows için Outlook'ta düzeltildi. Ayrıca maksimum önem derecesi olarak da listelenen bir Windows DNS Sunucusu Uzaktan Kod Yürütme (CVE-2024-26221CVSS puanı 7.2 olan ) da yamalandı.

Microsoft SQL Çok Sayıda Yama Alıyor

Immersive Labs tehdit araştırması kıdemli direktörü Kev Breen'e göre, Microsoft SQL Server güvenlik açıkları bu ayın Salı Yaması düzeltmelerinin büyük bir kısmını oluşturuyor.

Breen yaptığı açıklamada, "İlk bakışta, Microsoft'un son notlarında çok sayıda güvenlik açığına dikkat çektiği görülse de, bunların 40'ı aynı ürünle (Microsoft SQL Server) ilgili" dedi. "Asıl sorun, sunucunun kendisi değil, SQL sunucusuna bağlanmak için kullanılan İstemcilerle ilgilidir."

Breen, tüm bunların sosyal mühendislik gerektireceğini ve SQL kusurlarından herhangi bir yararlı kapasitede yararlanılmasını zorlaştıracağını açıkladı.

Breen, "Bildirilen tüm güvenlik açıkları benzer bir modeli takip ediyor: Bir saldırganın kod yürütme elde edebilmesi için, kuruluş içindeki kimliği doğrulanmış bir kullanıcıyı saldırganın kontrol ettiği uzak bir SQL sunucusuna bağlanmaya ikna etmesi gerekir" diye ekledi Breen. “İmkansız olmasa da saldırganların bu durumdan geniş çapta yararlanması pek mümkün değil.”

Bu tür saldırılardan endişe duyan güvenlik ekipleri anormal etkinlikleri aramalı ve güvenilir sunucular dışındaki giden bağlantıları engellemelidir.

Microsoft SmartScreen İstemi ve Güvenli Önyükleme Kusurları

Tenable'dan Narang, SmartScreen İstemi güvenlik özelliği bypassına yönelik bu ayki düzeltmeyi kaydetti (CVE-2024-29988CVSS puanı 8.8 olan ), aynı şekilde sömürüyü mümkün kılmak için sosyal mühendisliğe güveniyor. Aynı araştırmacılar tarafından keşfedilen benzer bir sıfır gün hatası (CVE-2024-21412), Apple iTunes gibi popüler markaların kimliğine bürünen bir DarkGate kampanyasında kullanıldı.

Narang, "Microsoft Defender SmartScreen'in son kullanıcılara kimlik avı ve kötü amaçlı web sitelerine karşı ek koruma sağlaması gerekiyor" dedi. "Ancak adından da anlaşılacağı gibi bu kusurlar bu güvenlik özelliklerini atlıyor ve bu da son kullanıcılara kötü amaçlı yazılım bulaşmasına yol açıyor."

Narang ayrıca güvenlik ekiplerinin Microsoft'un Nisan Yaması Salı sürümünde yer alan 24 Windows Güvenli Önyükleme kusur düzeltmesine göz atmasını önerdi.

"Microsoft'un Windows Güvenli Önyükleme'deki bir kusuru en son yamalaması (CVE-2023-24932) Mayıs 2023'te vahşi doğada istismar edildiğinden ve Dark Web forumlarında 5,000 dolara satılan BlackLotus UEFI önyükleme kitiyle ilişkilendirildiğinden dikkate değer bir etki yarattı" dedi.

BlackLotus kötü amaçlı yazılımı önyükleme sırasında güvenlik korumalarını engelleyebilir.

Narang, "Bu ay ele alınan Güvenli Önyükleme güvenlik açıklarının hiçbiri yaygın olarak istismar edilmese de, Güvenli Önyükleme'deki kusurların devam ettiğini ve gelecekte Güvenli Önyükleme ile ilgili daha fazla kötü amaçlı etkinlik görebileceğimizi hatırlatıyor" dedi.

spot_img

En Son İstihbarat

spot_img

Telif Hakkı @ 2024 Plato Technologies Inc.