Microsoft, 2024 yılının son toplu güncelleştirmesini yayınladı. Aralık 2024 güncelleştirmelerinde 16 tanesi kritik, 1 tanesi Zero-Day olmak üzere toplamda 71 güvenlik açığını kapattı. Özellikle CVE-2024-49124 numaralı açık, LDAP alt yapısını kullanan sistemler için son derece kritik bir durumda.
Crowdstrike’ın yaptığı açıklamaya göre (https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-december-2024/), bu ay yamalanan saldırı tiplerinden %42’si Remote Code Execution, %38’i ise hak yükseltme açıkları ile ilgili.
Bu yamalardan 58 tanesi Windows, 27 tanesi ESU, 10 tanesi ise Microsoft Office ürünlerini kapsıyor.
CVE-2024-49124
CVE tarafından 8.1 puan alan CVE-2024-49124 numaralı açık (https://www.cve.org/CVERecord?id=CVE-2024-49124) LDAP sistemlerinde uzaktan kod yürütme zafiyetini işaret ediyor.
Microsoft https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112
Saldırının tekniğine baktığımızda, saldırganların herhangi bir yetkiye sahip olmadan, Active Directory sunucusuna bir dizi komut göndererek çalıştırabildiği görülüyor. Microsoft, bu durumdan korunmak için sunucularda RPC servisinin güvenilmeyen ağlardan gelebilecek kodların çalıştırılmasını engelleyecek şekilde düzenlenmesini tavsiye ediyor.
RPC servisi kullanarak, uzaktan kod çalıştıran saldırganlar, Kerberos içerisinde ki bir kriptografik protokolü kullanarak istismar ediyor. Saldırganlar bu yöntem ile sistemde SYSTEM seviyesinde diledikleri içerikleri çalıştırabiliyorlar.
Çözüm(ler)
- microsoft-windows-windows_10-1507-kb5048703
- microsoft-windows-windows_10-1607-kb5048671
- microsoft-windows-windows_10-1809-kb5048661
- microsoft-windows-windows_10-21h2-kb5048652
- microsoft-windows-windows_10-22h2-kb5048652
- microsoft-windows-windows_11-22h2-kb5048685
- microsoft-windows-windows_11-23h2-kb5048685
- microsoft-windows-windows_11-24h2-kb5048667
- microsoft-windows-windows_server_2012-kb5048699
- microsoft-windows-windows_server_2012_r2-kb5048735
- microsoft-windows-windows_server_2016-1607-kb5048671
- microsoft-windows-windows_server_2019-1809-kb5048661
- microsoft-windows-windows_server_2022-21h2-kb5048654
- microsoft-windows-windows_server_2022-22h2-kb5048654
- microsoft-windows-windows_server_2022-23h2-kb5048653
- microsoft-windows-windows_server_2025-24h2-kb5048667
CVE-2024-49117
Bu ay kapatılan bir diğer açık ise Hyper-V tarafını etkileyen ve CVE tarafından 8.8 puan alan CVE-2024-49117 açığı. (https://www.cve.org/CVERecord?id=CVE-2024-49117) Bu açıkta da saldırganlar, Hyper-V sistemlerde uzaktan kod çalıştırabiliyorlar.
Bu saldırıda, saldırganlar Hyper-V üzerinde ki bir sanal makinenin donanım kaynaklarına kısmına özel bir kod ile erişebiliyor ve bu sayede sanal makinenin de içerisine sızabiliyor. Bu açık, her ne kadar “uzaktan” olarak sınıflandırılsa da aslında, saldırganların ilgili Hyper-V özelliğini içeren sunucuya içeriden erişmesi gerekmektedir.
Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49117
Çözümler
- microsoft-windows-windows_11-22h2-kb5048685
- microsoft-windows-windows_11-23h2-kb5048685
- microsoft-windows-windows_11-24h2-kb5048667
- microsoft-windows-windows_server_2022-21h2-kb5048654
- microsoft-windows-windows_server_2022-22h2-kb5048654
- microsoft-windows-windows_server_2022-23h2-kb5048653
- microsoft-windows-windows_server_2025-24h2-kb5048667
CVE-2024-49118 ve CVE-2024-49122
Bu iki açıkta, Microsoft Message Queuing servisini baz alan bir açık. Bu iki açıkta 8.1 ile skorlandırılmış ve kritik açık olarak karşımıza çıkıyor. (https://www.cve.org/CVERecord?id=CVE-2024-49118 & https://www.cve.org/CVERecord?id=CVE-2024-49122)
Microsoft güvenlik ekibinin yaptığı açıklamaya göre, saldırganların Microsoft Message Queuing servisinin aktif olduğu sunucularda TCP 1801 portundan ağa erişimin olduğu kaynaklarda bu saldırının gerçekleşebileceğini dile getiriyorlar.
Microsoft:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49118 & https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49122
Çözümler
CVE-2024-49118
- microsoft-windows-windows_10-1507-kb5048703
- microsoft-windows-windows_10-1607-kb5048671
- microsoft-windows-windows_10-1809-kb5048661
- microsoft-windows-windows_10-21h2-kb5048652
- microsoft-windows-windows_10-22h2-kb5048652
- microsoft-windows-windows_11-22h2-kb5048685
- microsoft-windows-windows_11-23h2-kb5048685
- microsoft-windows-windows_11-24h2-kb5048667
- microsoft-windows-windows_server_2012-kb5048699
- microsoft-windows-windows_server_2012_r2-kb5048735
- microsoft-windows-windows_server_2016-1607-kb5048671
- microsoft-windows-windows_server_2019-1809-kb5048661
- microsoft-windows-windows_server_2022-21h2-kb5048654
- microsoft-windows-windows_server_2022-22h2-kb5048654
- microsoft-windows-windows_server_2022-23h2-kb5048653
- microsoft-windows-windows_server_2025-24h2-kb5048667
CVE-2024-49122
- microsoft-windows-windows_10-1507-kb5048703
- microsoft-windows-windows_10-1607-kb5048671
- microsoft-windows-windows_10-1809-kb5048661
- microsoft-windows-windows_10-21h2-kb5048652
- microsoft-windows-windows_10-22h2-kb5048652
- microsoft-windows-windows_11-22h2-kb5048685
- microsoft-windows-windows_11-23h2-kb5048685
- microsoft-windows-windows_11-24h2-kb5048667
- microsoft-windows-windows_server_2012-kb5048699
- microsoft-windows-windows_server_2012_r2-kb5048735
- microsoft-windows-windows_server_2016-1607-kb5048671
- microsoft-windows-windows_server_2019-1809-kb5048661
- microsoft-windows-windows_server_2022-21h2-kb5048654
- microsoft-windows-windows_server_2022-22h2-kb5048654
- microsoft-windows-windows_server_2022-23h2-kb5048653
- microsoft-windows-windows_server_2025-24h2-kb5048667
İlgili KB’lerin sistemlerinizde uygulanıp, uygulanmadığına dair kontrolleri GitHub hesabıma eklediğim PowerShell scripti ile kontrol edebilirsiniz: https://github.com/mutkus/Microsoft-2024-December-Update-Control/
