Siber Muhbir

CVE-2024-21410 (CVSS puanı: 9.8) olarak izlenen sorun, Exchange Server'ı etkileyen bir ayrıcalık yükseltme durumu olarak tanımlanmıştır.

Şirket, bu hafta yayınlanan bir danışma belgesinde, "Bir saldırgan, NTLM kimlik bilgilerini sızdıran bir güvenlik açığına sahip Outlook gibi bir NTLM istemcisini hedefleyebilir" dedi.

"Sızdırılan kimlik bilgileri daha sonra kurban istemcisi olarak ayrıcalıklar elde etmek ve kurban adına Exchange sunucusunda işlemler gerçekleştirmek için Exchange sunucusuna aktarılabilir."

Redmond, kusurun başarılı bir şekilde kullanılmasının, bir saldırganın bir kullanıcının sızdırılmış Net-NTLMv2 karmasını duyarlı bir Exchange Server'a aktarmasına ve kullanıcı olarak kimlik doğrulaması yapmasına izin verebileceğini de sözlerine ekledi.

Teknoloji devi, bülteninde yaptığı bir güncellemede, Sömürülebilirlik Değerlendirmesini "İstismar Tespit Edildi" olarak revize etti ve artık Exchange Server 2019 Kümülatif Güncelleme 14 (CU14) güncellemesiyle varsayılan olarak Kimlik Doğrulama için Genişletilmiş Koruma'yı (EPA) etkinleştirdiğini belirtti.

İstismarın doğası ve kusuru kötüye kullanabilecek tehdit aktörlerinin kimliği hakkındaki ayrıntılar şu anda bilinmiyor. Bununla birlikte, APT28 (diğer adıyla Forest Blizzard) gibi Rus devletine bağlı bilgisayar korsanlığı ekipleri, NTLM geçiş saldırıları düzenlemek için Microsoft Outlook'taki kusurlardan yararlanma geçmişine sahiptir.

Bu ayın başlarında Trend Micro, düşmanı en azından Nisan 2022'den bu yana yüksek değerli varlıkları hedef alan NTLM röle saldırılarına dahil etti. İzinsiz girişler, dışişleri, enerji, savunma ve ulaşımla uğraşan kuruluşların yanı sıra işgücü, sosyal refah, finans, ebeveynlik ve yerel şehir konseyleriyle ilgili kuruluşları hedef aldı.

CVE-2024-21410, bu hafta Microsoft tarafından yamalanan ve gerçek dünya saldırılarında aktif olarak silah haline getirilen CVE-2024-21351 (CVSS puanı: 7.6) ve CVE-2024-21412 (CVSS puanı: 8.1) olmak üzere diğer iki Windows kusuruna katkıda bulunur.

Windows SmartScreen korumalarının atlanmasını sağlayan bir hata olan CVE-2024-21412'nin istismarı, daha önce DarkMe truva atını dağıtmak için WinRAR'da sıfır gün kullanan Water Hydra (diğer adıyla DarkCasino) adlı gelişmiş bir kalıcı tehdide bağlandı.

Trend Micro, "Grup, kullanıcı tarafından seçildiğinde tehdit aktörünün CVE-2024-21412'den yararlanmasına izin veren bir JPEG görüntüsü kılığına girmiş internet kısayolları kullandı" dedi. "Grup daha sonra Microsoft Defender SmartScreen'i atlayabilir ve saldırı zincirinin bir parçası olarak Windows ana bilgisayarını tamamen tehlikeye atabilir."

Microsoft'un Salı Yaması güncellemesi, Outlook e-posta yazılımını etkileyen ve Korumalı Görünüm gibi güvenlik önlemlerini önemsiz bir şekilde atlatarak uzaktan kod yürütülmesine neden olabilecek bir başka kritik eksiklik olan CVE-2024-21413'ü de ele alıyor.

Check Point tarafından MonikerLink kod adı verilen sorun, "yerel NTLM kimlik bilgilerinin sızdırılmasından rastgele kod yürütülmesine kadar geniş ve ciddi bir etkiye izin veriyor."

Güvenlik açığı, "file://" köprülerinin yanlış ayrıştırılmasından kaynaklanır ve bu da saldırgan tarafından kontrol edilen sunucularda barındırılan rastgele yüklere işaret eden URL'lere bir ünlem işareti ekleyerek kod yürütmeyi mümkün kılar (örneğin, "file:///\\10.10.111.111\test\test.rtf!something").

Siber güvenlik firması, "Hata yalnızca yerel NTLM bilgilerinin sızdırılmasına izin vermekle kalmıyor, aynı zamanda uzaktan kod yürütülmesine ve bir saldırı vektörü olarak daha fazlasına izin verebilir" dedi. "Ayrıca, diğer Office uygulamalarını hedeflemek için bir saldırı vektörü olarak kullanıldığında Office Korumalı Görünümü'nü atlayabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.