Microsoft Salı günü, Windows NT LAN Yöneticisi ( NTLM ) ve Görev Zamanlayıcısı’nı etkileyen iki güvenlik açığının aktif olarak istismar edildiğini açıkladı.

Güvenlik açıkları, teknoloji devinin Kasım 2024’teki Patch Tuesday güncellemesinin bir parçası olarak ele aldığı 90 güvenlik hatası arasında yer alıyor . 90 kusurdan dördü Kritik, 85’i Önemli ve biri Orta şiddette olarak derecelendirilmiştir. Düzeltilen güvenlik açıklarının elli ikisi uzaktan kod yürütme kusurlarıdır.

Düzeltmeler, Microsoft’un Ekim 2024 Salı Yaması güncellemesinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında çözdüğü 31 güvenlik açığına ektir . Aktif olarak istismar edildiği listelenen iki güvenlik açığı aşağıdadır –

  • CVE-2024-43451 (CVSS puanı: 6,5) – Windows NTLM Karma Açıklama Sahtekarlığı Güvenlik Açığı
  • CVE-2024-49039 (CVSS puanı: 8.8) – Windows Görev Zamanlayıcı Ayrıcalık Yükseltme Güvenlik Açığı

Microsoft, CVE-2024-43451 numaralı uyarıda, “Bu güvenlik açığı, saldırgana kullanıcının NTLMv2 karma değerini ifşa ediyor ve saldırgan bunu kullanarak kullanıcı olarak kimlik doğrulaması yapabiliyor” ifadesini kullandı ve açığı keşfedip bildiren ClearSky araştırmacısı Israel Yeshurun’a teşekkür etti.

CVE-2024-43451’in , Şubat ayında yamalanan CVE-2024-21410 ve Temmuz ayında yamalanan CVE-2024-38021’den sonra bir kullanıcının NTLMv2 karma değerini ortaya çıkarmak için kullanılabilen üçüncü açık olduğunu ve yalnızca bu yıl yaygın olarak istismar edildiğini belirtmekte fayda var.

Tenable’da kıdemli araştırma mühendisi olarak çalışan Satnam Narang, yaptığı açıklamada, “Saldırganlar, sistemlerde kimlik doğrulaması yapmak ve potansiyel olarak bir ağ içinde yatay olarak hareket ederek diğer sistemlere erişmek için kullanılabilen NTLMv2 karma değerlerini ifşa edebilen sıfırıncı gün güvenlik açıklarını keşfetme ve kullanma konusunda ısrarcı olmaya devam ediyor” dedi.

Öte yandan CVE-2024-49039, bir saldırganın ayrıcalıklı hesaplarla sınırlı olan RPC işlevlerini yürütmesine izin verebilir. Ancak Microsoft, başarılı bir istismarın, kimliği doğrulanmış bir saldırganın öncelikle ayrıcalıklarını Orta Bütünlük Düzeyine yükseltmek için hedef sistemde özel olarak hazırlanmış bir uygulama çalıştırmasını gerektirdiğini belirtir.

Google’ın Tehdit Analizi Grubu’ndan (TAG) Vlad Stolyarov ve Bahare Sabouri ve anonim bir araştırmacı, güvenlik açığını bildirdikleri için takdir edildi. Bu, kusurun sıfır günlük istismarının bazı ulus-devlet bağlantılı gruplarla veya gelişmiş kalıcı tehdit (APT) aktörüyle ilişkili olma olasılığını gündeme getiriyor.

Şu anda eksikliklerin vahşi doğada nasıl istismar edildiğine veya bu saldırıların ne kadar yaygın olduğuna dair bir içgörü yok, ancak gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı (CISA) bunları Bilinen İstismar Edilen Güvenlik Açıkları ( KEV ) kataloğuna eklemeye yöneltti .

Kamuoyuna açıklanan ancak henüz istismar edilmeyen sıfırıncı gün kusurlarından biri, etki alanı yönetici ayrıcalıklarını elde etmek için kullanılabilecek Active Directory Sertifika Hizmetleri’nde bir ayrıcalık yükseltme güvenlik açığı olan CVE-2024-49019’dur (CVSS puanı: 7.8). EKUwu olarak adlandırılan güvenlik açığının ayrıntıları geçen ay TrustedSec tarafından belgelendi .

Dikkat çeken bir diğer güvenlik açığı ise .NET ve Visual Studio’da kritik bir uzaktan kod yürütme hatası olan CVE-2024-43498’dir (CVSS puanı: 9,8). Kimliği doğrulanmamış uzaktan bir saldırgan, güvenlik açığı bulunan bir .NET web uygulamasına özel olarak hazırlanmış istekler göndererek veya güvenlik açığı bulunan bir masaüstü uygulamasına özel olarak hazırlanmış bir dosya yükleyerek bu açığı istismar edebilir.

Güncelleme ayrıca, kimliği doğrulanmamış bir saldırganın uzaktan kod yürütme gerçekleştirmek için kötüye kullanabileceği Windows Kerberos’u etkileyen kritik bir şifreleme protokolü açığını ( CVE-2024-43639 , CVSS puanı: 9,8) da düzeltiyor.

Bu ayki sürümdeki en yüksek puanlı güvenlik açığı, Azure CycleCloud’daki uzaktan kod yürütme açığıdır ( CVE-2024-43602 , CVSS puanı: 9,9). Bu güvenlik açığı, temel kullanıcı izinlerine sahip bir saldırganın kök düzeyinde ayrıcalıklar elde etmesine olanak tanır.

“Sömürü kolaylığı, yapılandırmasını değiştirecek savunmasız bir AzureCloud CycleCloud kümesine bir istek göndermek kadar basitti,” dedi Narang. “Kuruluşlar bulut kaynaklarını kullanmaya devam ettikçe, saldırı yüzeyi de bunun sonucunda genişliyor.”

Son olarak, Redmond tarafından ele alınan Microsoft tarafından yayınlanmayan bir CVE, OpenSSL’deki uzaktan kod yürütme hatasıdır ( CVE-2024-5535 , CVSS puanı: 9.1). İlk olarak Haziran 2024’te OpenSSL bakımcıları tarafından yamalanmıştı.

Microsoft, “Bu güvenlik açığından faydalanmak için saldırganın kurbana e-posta yoluyla kötü amaçlı bir bağlantı göndermesi veya kullanıcıyı genellikle bir e-posta veya anlık mesajlaşma mesajındaki bir teşvik yoluyla bağlantıya tıklamaya ikna etmesi gerekiyor” dedi.

“En kötü e-posta saldırı senaryosunda, saldırgan kurbanın açması, okuması veya bağlantıya tıklaması şartı olmaksızın kullanıcıya özel olarak hazırlanmış bir e-posta gönderebilir. Bu, saldırganın kurbanın makinesinde uzaktan kod yürütmesiyle sonuçlanabilir.”

Microsoft, Kasım ayındaki güvenlik güncelleştirmesiyle aynı zamana denk gelecek şekilde, tüm CVE’ler için yanıt ve düzeltme çabalarını hızlandırmak amacıyla, makine tarafından okunabilir biçimde güvenlik açıklarını ifşa etmeye yönelik bir OASIS standardı olan Ortak Güvenlik Danışma Çerçevesi’ni (CSAF) benimsediğini duyurdu.

Şirket, “CSAF dosyalarının insanlardan daha çok bilgisayarlar tarafından tüketilmesi amaçlanmıştır, bu nedenle CSAF dosyalarını mevcut CVE veri kanallarımıza bir yedek olarak değil, bir ek olarak ekliyoruz,” dedi . “Bu, tedarik zincirimiz ve ürünlerimize yerleştirilmiş Açık Kaynak Yazılımı da dahil olmak üzere tüm tedarik zincirimizde ele aldığımız ve çözdüğümüz güvenlik açıkları etrafında şeffaflığı artırmaya devam etme yolculuğunun başlangıcıdır.”

Diğer Satıcılardan Yazılım Yamaları#

Microsoft dışında, son birkaç hafta içinde diğer satıcılar tarafından da çeşitli güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri yayınlandı; bunlar arasında şunlar da yer alıyor: