Siber Muhbir

73 güvenlik açığından 5'i Kritik, 65'i Önemli ve üçü Orta önem derecesi olarak derecelendirilmiştir. Bu, Ocak 2024 Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında düzeltilen 24 kusura ektir.

Yayınlandığı sırada aktif saldırı altında olarak listelenen iki kusur aşağıdadır:

• CVE-2024-21351 (CVSS puanı: 7,6) - Windows SmartScreen Güvenlik Özelliği Atlama Güvenlik Açığı
• CVE-2024-21412 (CVSS puanı: 8.1) - İnternet Kısayol Dosyaları Güvenlik Özelliği Atlama Güvenlik Açığı

Microsoft, CVE-2024-21351 hakkında "Güvenlik açığı, kötü niyetli bir aktörün SmartScreen'e kod enjekte etmesine ve potansiyel olarak kod yürütmesine olanak tanır, bu da potansiyel olarak bazı verilerin açığa çıkmasına, sistem kullanılabilirliğinin olmamasına veya her ikisine birden yol açabilir" dedi.

Kusurun başarılı bir şekilde kötüye kullanılması, bir saldırganın SmartScreen korumalarını atlatmasına ve rasgele kod çalıştırmasına izin verebilir. Ancak saldırının işe yaraması için tehdit aktörünün kullanıcıya kötü amaçlı bir dosya göndermesi ve kullanıcıyı dosyayı açmaya ikna etmesi gerekir.

CVE-2024-21412, benzer şekilde, kimliği doğrulanmamış bir saldırganın, hedeflenen bir kullanıcıya özel hazırlanmış bir dosya göndererek görüntülenen güvenlik kontrollerini atlamasına izin verir.

"Ancak, saldırganın bir kullanıcıyı saldırgan tarafından kontrol edilen içeriği görüntülemeye zorlamasının bir yolu yoktur." Redmond kaydetti. "Bunun yerine, saldırganın dosya bağlantısını tıklayarak onları harekete geçmeye ikna etmesi gerekir."

CVE-2024-21351, teknoloji devi tarafından Kasım 2023'te kapatılan CVE-2023-36025'ten (CVSS puanı: 8.8) sonra SmartScreen'de keşfedilen ikinci atlama hatasıdır. Kusur o zamandan beri DarkGate, Phemedrone Stealer ve Mispadu'yu çoğaltmak için birden fazla bilgisayar korsanlığı grubu tarafından istismar edildi.

CVE-2024-21412'den yararlanan gelişmiş bir sıfır gün saldırı zinciri aracılığıyla finans piyasası tüccarlarını hedef alan Water Hydra (diğer adıyla DarkCasino) tarafından gerçekleştirilen bir saldırı kampanyasını detaylandıran Trend Micro, CVE-2024-21412'yi CVE-2023-36025 için bir baypas olarak nitelendirdi ve böylece tehdit aktörlerinin SmartScreen kontrollerinden kaçmasını sağladı.

İlk olarak 2021'de tespit edilen Water Hydra, Ağustos 2023'te ortaya çıkan WinRAR kusuru da dahil olmak üzere sıfır gün açıklarını kullanarak DarkMe adlı bir truva atı göndermek için bankalara, kripto para platformlarına, ticaret hizmetlerine, kumar sitelerine ve kumarhanelere yönelik saldırılar başlatma konusunda bir geçmişe sahiptir (CVE-2023-38831, CVSS puanı: 7.8).

Geçen yılın sonlarında, Çinli siber güvenlik şirketi NSFOCUS, "ekonomik olarak motive edilmiş" bilgisayar korsanlığı grubunu tamamen yeni bir gelişmiş kalıcı tehdide (APT) dönüştürdü.

Trend Micro, "Ocak 2024'te Water Hydra, kötü amaçlı bir Microsoft Yükleyici Dosyası (.MSI) yürütmek için CVE-2024-21412'den yararlanan enfeksiyon zincirini güncelleyerek DarkMe bulaşma sürecini kolaylaştırdı" dedi.

Her iki güvenlik açığı da o zamandan beri ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi ve federal kurumları en son güncellemeleri 5 Mart 2024'e kadar uygulamaya çağırdı.

Ayrıca Microsoft tarafından yamalanan beş kritik kusur vardır -

• CVE-2024-20684 (CVSS puanı: 6,5) - Windows Hyper-V Hizmet Reddi Güvenlik Açığı
• CVE-2024-21357 (CVSS puanı: 7.5) - Windows Pragmatik Genel Çok Noktaya Yayın (PGM) Uzaktan Kod Yürütme Güvenlik Açığı
• CVE-2024-21380 (CVSS puanı: 8,0) - Microsoft Dynamics Business Central/NAV Bilginin Açığa Çıkması Güvenlik Açığı
• CVE-2024-21410 (CVSS puanı: 9,8) - Microsoft Exchange Server Ayrıcalık Yükselmesi Güvenlik Açığı
• CVE-2024-21413 (CVSS puanı: 9,8) - Microsoft Outlook Uzaktan Kod Yürütme Güvenlik Açığı

"CVE-2024-21410, Microsoft Exchange Server'da bir ayrıcalık yükselmesi güvenlik açığıdır," dedi Tenable'da kıdemli personel araştırma mühendisi Satnam Narang yaptığı açıklamada. "Microsoft'a göre bu kusurun saldırganlar tarafından istismar edilmesi daha olası."

"Bu güvenlik açığından yararlanmak, hedeflenen bir kullanıcının Net-New Technology LAN Manager (NTLM) sürüm 2 karmasının açığa çıkmasına neden olabilir ve bu, saldırganın hedeflenen kullanıcı olarak kimlik doğrulaması yapmasına olanak tanıyan bir NTLM geçişi veya karma geçişi saldırısında savunmasız bir Exchange Server'a geri aktarılabilir."

Güvenlik güncelleştirmesi, SQL Server için Microsoft WDAC OLE DB sağlayıcısında, bir saldırganın kimliği doğrulanmış bir kullanıcıyı OLEDB aracılığıyla kötü amaçlı bir SQL sunucusuna bağlanmaya çalışması için kandırarak yararlanabileceği 15 uzaktan kod yürütme kusurunu da giderir.

Yamayı tamamlamak, DNSSEC spesifikasyonunda CPU kaynaklarını tüketmek ve DNS çözümleyicilerini durdurmak için kötüye kullanılabilen ve hizmet reddine (DoS) neden olabilen 24 yıllık bir tasarım kusuru olan CVE-2023-50387 (CVSS puanı: 7.5) için bir düzeltmedir.

Güvenlik açığı, Darmstadt'taki Ulusal Uygulamalı Siber Güvenlik Araştırma Merkezi (ATHENE) tarafından KeyTrap olarak kodlandı.

ATHENE, "[Araştırmacılar] sadece tek bir DNS paketiyle saldırının CPU'yu tüketebileceğini ve yaygın olarak kullanılan tüm DNS uygulamalarını ve Google Public DNS ve Cloudflare gibi genel DNS sağlayıcılarını durdurabileceğini gösterdi" dedi. "Aslında, popüler BIND 9 DNS uygulaması 16 saate kadar durdurulabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.