Microsoft Güvenlik Açıkları: CVE-2024-38106, CVE-2024-38107, CVE-2024-38109, CVE-2024-38206, CVE-2024-38166, CVE-2024-38140, CVE-2024-38063, CVE-2024-38159, CVE-2024-38160, CVE-2024-38189
Microsoft, Ağustos 2024'te birkaç kritik ve yüksek öneme sahip sorun da dahil olmak üzere birden fazla güvenlik açığını gideren önemli bir güvenlik güncelleştirmesi yayınladı.
CVE-2024-38106: Windows Kernel Ayrıcalık Yükseltme Güvenlik Açığı
CVE-2024-38106, Windows çekirdeğini etkileyen bir ayrıcalık yükseltme güvenlik açığıdır ve taban puanı 7.0'dır (YÜKSEK). Bu güvenlik açığı, yerel bir saldırganın çekirdekteki bir yarış koşulunu istismar ederek SİSTEM ayrıcalıkları elde etmesine olanak tanır.
Sömürü Detayları
Bu güvenlik açığından yararlanmak için, bir saldırganın hassas zamanlama gerektiren bir yarış koşulundan yararlanması gerekir. Daha düşük önem puanına rağmen, CVE-2024-38106 vahşi doğada sıfır günlük bir güvenlik açığı olarak aktif olarak kullanılmıştır ve bu da ciddi etkilerini göstermektedir.
* Örnek Senaryo : Bir kuruluştaki bir çalışan bir kimlik avı e-postası alır ve istemeden kötü amaçlı bir betik indirir. Saldırgan bu betiği kullanarak CVE-2024-38106'yı istismar ederek SİSTEM ayrıcalıkları elde eder. Bu erişimle saldırgan kötü amaçlı yazılım yükleyebilir, hassas dosyalara erişebilir ve yönetici haklarına sahip yeni kullanıcı hesapları oluşturabilir ve bu da önemli bir güvenlik ihlaline yol açabilir.
Azaltma Stratejileri
- **Güvenlik Yamalarını Uygulayın: Tüm sistemlerin Microsoft'un en son yamalarıyla güncellendiğinden emin olun.
- **Anormallikleri İzleme: Olağandışı erişim düzenlerini veya ayrıcalık artışlarını tespit etmek için izleme çözümlerini uygulayın.
- **Kullanıcı Eğitimi: Çalışanlarınıza kimlik avı girişimlerini tanıma ve güvenlik hijyenini sağlama konusunda eğitim verin.
---
CVE-2024-38107: Windows Güç Bağımlılığı Koordinatörü Ayrıcalık Yükseltme Güvenlik Açığı
CVE-2024-38107, 7.8 (YÜKSEK) taban puanına sahip Windows Güç Bağımlılığı Koordinatörü'nü (pdc.sys) etkileyen başka bir ayrıcalık yükseltme güvenlik açığıdır. Bu sürücü, Windows'daki güç durumlarını yönetmekten sorumludur.
Sömürü Detayları
Bu güvenlik açığı ayrıca sıfır gün olarak vahşi doğada istismar edildi ve bu da saldırganların bir yama mevcut olmadan önce bunu başarıyla kullandıklarını gösteriyor. İstismar yönteminin ayrıntıları açıklanmadı ancak bir saldırganın yükseltilmiş ayrıcalıklar elde etmesine olanak sağlıyor.
*Örnek Senaryo : Bir kullanıcı, güç yönetimi özellikleriyle etkileşime giren kötü amaçlı bir uygulamayı bilmeden yükler. Saldırgan, ayrıcalıklarını yükseltmek için CVE-2024-38107'yi kullanır ve bu da hassas sistem dosyalarına erişmelerine ve potansiyel olarak ek kötü amaçlı yazılımlar yüklemelerine olanak tanır.
Azaltma Stratejileri
- **Sistemleri Düzenli Olarak Güncelleyin: Tüm Windows sistemlerinin en son güvenlik yamalarıyla güncel tutulduğundan emin olun.
- **Uygulama Kurulumlarını Sınırla: İstismar riskini en aza indirmek için kurulumları güvenilir uygulamalarla sınırlayın.
- **En Az Ayrıcalıklı Erişimi Uygulayın: Kullanıcıların işlerini yapmak için yalnızca gerekli izinlere sahip olduğundan emin olun.
---
CVE-2024-38109: Microsoft Azure Health Bot'ta Sunucu Tarafı İstek Sahteciliği
CVE-2024-38109, Microsoft Azure Health Bot'ta 9,1 (KRİTİK) temel puana sahip kritik bir Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığıdır. Bu güvenlik açığı, kimliği doğrulanmış bir saldırganın sunucudan gönderilen istekleri manipüle etmesine olanak tanır ve bu da hassas bilgilere yetkisiz erişime yol açabilir.
Sömürü Detayları
Kimliği doğrulanmış bir saldırgan, ağ üzerindeki ayrıcalıklarını yükseltmek, dahili hizmetlere veya verilere erişim sağlamak için bu güvenlik açığından yararlanabilir.
*Örnek Senaryo: Azure Health Bot kullanan bir sağlık kuruluşunda, geçerli kimlik bilgilerine sahip bir saldırgan, kötü amaçlı istekler göndermek ve dahili sunucularda depolanan hassas hasta verilerine erişmek için CVE-2024-38109'u kullanabilir. Bu, kuruluş için veri ihlallerine ve ciddi itibar kaybına yol açabilir.
Azaltma Stratejileri
- *Ağ Güvenliği Kontrollerini Uygulayın: Yetkisiz erişim girişimlerini izlemek ve engellemek için güvenlik duvarlarını ve saldırı tespit sistemlerini kullanın.
- *Erişim İzinlerini Düzenli Olarak Denetleyin: Hassas hizmetlere yalnızca yetkili kullanıcıların erişebildiğinden emin olun.
- *Güvenlik Güncelleştirmelerini Uygulayın: Azure hizmetlerini en son güvenlik yamalarıyla güncel tutun.
---
CVE-2024-38206: Microsoft Copilot Studio'da SSRF Korumasının Atlatılması
CVE-2024-38206, kimliği doğrulanmış bir saldırganın Microsoft Copilot Studio'daki SSRF korumasını aşmasına ve hassas bilgilerin ağ üzerinden sızdırılmasına olanak tanıyan bir güvenlik açığıdır.
Sömürü Detayları
Bu güvenlik açığı, sisteme erişim sağlamış bir saldırgan tarafından istismar edilebilir ve bu sayede istekleri manipüle edebilir ve hassas dahili kaynaklara erişebilir.
*Örnek Senaryo: Microsoft Copilot Studio'ya erişimi olan bir saldırgan, güvenlik önlemlerini aşmak için CVE-2024-38206'yı kullanabilir ve bu sayede API anahtarları veya dahili hizmet uç noktaları gibi hassas bilgileri sızdırabilir ve bu bilgiler daha sonraki saldırılarda kullanılabilir.
Azaltma Stratejileri
- *Giriş Doğrulamasını Geliştirin: Yetkisiz erişimi önlemek için tüm girdilerin düzgün bir şekilde doğrulandığından ve temizlendiğinden emin olun.
- *Ağ Trafiğini İzleyin: İstismar girişimlerini gösterebilecek olağandışı kalıpları tespit etmek için izlemeyi uygulayın.
- *Güvenlik Protokollerini Düzenli Olarak Güncelleyin: Ortaya çıkan tehditlere karşı güvenlik önlemlerinizi güncel tutun.
---
CVE-2024-38166: Microsoft Dynamics 365'te Girişin Uygunsuz Nötralizasyonu
CVE-2024-38166, Microsoft Dynamics 365'te girişin uygunsuz bir şekilde etkisiz hale getirilmesine yönelik bir güvenlik açığıdır ve kimliği doğrulanmamış bir saldırganın, kullanıcıları kötü amaçlı bir bağlantıya tıklamaları için kandırarak sahtekarlık yapmasına olanak tanır.
Sömürü Detayları
Bir saldırgan, tıklandığında kullanıcıları zararlı bir siteye yönlendirebilecek veya Dynamics 365 içinde istenmeyen eylemler gerçekleştirebilecek kötü amaçlı bir bağlantı oluşturmak için bu güvenlik açığından yararlanabilir.
*Örnek Senaryo: Bir saldırgan, meşru görünen ancak CVE-2024-38166'yı istismar etmek üzere tasarlanmış bir bağlantı içeren bir e-posta gönderir. Bir kullanıcı bağlantıya tıkladığında, kimlik bilgilerini ele geçiren veya kötü amaçlı yazılım yükleyen kötü amaçlı bir siteye yönlendirilir.
Azaltma Stratejileri
- *Kullanıcı Farkındalık Eğitimi: Kullanıcılara şüpheli bağlantıları ve e-postaları belirleme konusunda eğitim verin.
- *URL Filtrelemeyi Uygulayın: Bilinen kötü amaçlı sitelere erişimi engellemek için web filtreleme çözümlerini kullanın.
- *Yazılımı Düzenli Olarak Güncelleyin: Güvenlik açıklarını azaltmak için Microsoft Dynamics 365'in en son sürüme güncellendiğinden emin olun.
---
CVE-2024-38140 ve CVE-2024-38063: Uzaktan Kod Yürütme Güvenlik Açıkları
CVE-2024-38140 ve CVE-2024-38063, her ikisi de 9,8 (KRİTİK) taban puanına sahip kritik uzaktan kod yürütme güvenlik açıklarıdır. Bu güvenlik açıkları, saldırganların etkilenen sistemlerde uzaktan keyfi kod yürütmesine olanak tanır.
Sömürü Detayları
Saldırganlar, kötü amaçlı ağ paketleri aracılığıyla bu güvenlik açıklarından yararlanarak sistemleri tehlikeye atabilir ve potansiyel olarak veri kaybına veya bozulmasına yol açabilir.
*Örnek Senaryo: Bir saldırgan, CVE-2024-38140 veya CVE-2024-38063'ü kullanarak savunmasız bir sunucuya özel olarak hazırlanmış bir paket gönderir. Başarılı olursa, kritik verileri şifreleyen ve serbest bırakılması için fidye talep eden fidye yazılımı yükleyebilir.
Azaltma Stratejileri
- *Ağ Segmentasyonunu Uygulayın: Kritik sistemlerin internete maruz kalmasını sınırlayarak saldırı yüzeyini azaltın.
- * Saldırı Önleme Sistemlerini Kullanın: Kötü amaçlı paketleri hedeflerine ulaşmadan önce tespit edip engelleyebilen sistemler konuşlandırın.
- *Yazılımları Düzenli Olarak Güncelleyin: Tüm yazılımların, özellikle de ağa yönelik uygulamaların en son güvenlik yamalarıyla güncel tutulduğundan emin olun.
---
CVE-2024-38159 ve CVE-2024-38160: Windows Ağ Sanallaştırma Uzaktan Kod Yürütme Güvenlik Açıkları
CVE-2024-38159 ve CVE-2024-38160, 9.1 (KRİTİK) taban puanına sahip kritik uzaktan kod yürütme güvenlik açıklarıdır. Bu güvenlik açıkları, saldırganların Windows Ağ Sanallaştırması içinde uzaktan kod yürütmesine olanak tanır.
Sömürü Detayları
Bir saldırgan, sanallaştırılmış ağ kaynaklarına yetkisiz erişim elde etmek için bu güvenlik açıklarından yararlanabilir ve bu da bulut altyapısının daha geniş çaplı bir şekilde tehlikeye atılmasına yol açabilir.
*Örnek Senaryo: Bir bulut ortamında, bir saldırgan bu güvenlik açıklarını kullanarak sanallaştırılmış ağ kaynaklarına erişebilir, böylece ağ yapılandırmalarını değiştirebilir veya hassas verileri sızdırabilir.
Azaltma Stratejileri
- *Düzenli Güvenlik Denetimleri Gerçekleştirin: Güvenlik açıklarını belirlemek için ağ yapılandırmalarını ve erişim kontrollerini düzenli olarak değerlendirin.
- Güçlü Kimlik Doğrulama Mekanizmaları Uygulayın: Sanallaştırılmış kaynaklara erişimi güvence altına almak için çok faktörlü kimlik doğrulamayı kullanın.
- *Sistemleri Güncel Tutun: Tüm sanallaştırılmış ortamların en son güvenlik güncellemeleriyle yamalandığından emin olun.
---
CVE-2024-38189: Microsoft Project Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2024-38189, Microsoft Project'te 8.8 (YÜKSEK) taban puanına sahip uzaktan kod yürütme güvenlik açığıdır. Bu güvenlik açığı, bir saldırganın etkilenen sistemlerde keyfi kod yürütmesine olanak tanır.
Sömürü Detayları
Bir saldırgan, açıldığında kötü amaçlı kod çalıştıran özel olarak hazırlanmış bir proje dosyası aracılığıyla bu güvenlik açığından yararlanabilir.
*Örnek Senaryo: Bir çalışan, güvenilir bir kaynaktan geliyormuş gibi görünen bir proje dosyasını e-posta yoluyla alır. Dosyayı açtıktan sonra saldırgan, çalışanın makinesine kötü amaçlı yazılım yükleyen kodu yürütmek için CVE-2024-38189'u kullanır ve potansiyel olarak tüm ağı tehlikeye atar.
Azaltma Stratejileri
- *Kullanıcıları Dosya Güvenliği Konusunda Eğitin: Çalışanlarınızı, bilinen kişilerden gelse bile, e-posta ekleri konusunda dikkatli olmaları konusunda eğitin.
- *Antivirüs Çözümleri Kullanın: Kötü amaçlı dosyaları tespit edip engelleyebilen antivirüs yazılımları uygulayın.
- *Microsoft Project'i Düzenli Olarak Güncelleyin: Güvenlik açıklarını azaltmak için Microsoft Project'in en son sürüme güncellendiğinden emin olun.
---
Çözüm
Bu blogda tartışılan güvenlik açıkları, günümüzün dijital ortamında sağlam güvenlik uygulamalarının sürdürülmesinin önemini vurgulamaktadır. Bu güvenlik açıklarının doğasını anlayarak ve etkili azaltma stratejileri uygulayarak, kuruluşlar bunların istismar edilme riskini önemli ölçüde azaltabilir ve hassas verilerini olası tehditlerden koruyabilir. Düzenli güncellemeler, çalışan eğitimi ve proaktif izleme, kapsamlı bir güvenlik stratejisinin temel bileşenleridir.
Alıntılar:
- https://nvd.nist.gov/