Siber Muhbir

Güvenlik açıkları aşağıda listelenmiştir -

• CVE-2024-38202 (CVSS puanı: 7.3) - Windows Update Yığını Ayrıcalık Yükselmesi Güvenlik Açığı
• CVE-2024-21302 (CVSS puanı: 6.7) - Windows Güvenli Çekirdek Modu Ayrıcalık Yükselmesi Güvenlik Açığı

Kusurları keşfetme ve bildirme konusunda kredilendirilen SafeBreach Labs araştırmacısı Alon Leviev, bulguları Black Hat USA 2024 ve DEF CON 32'de sundu.

Teknoloji devi, Windows Backup bileşenine dayanan CVE-2024-38202'nin, "temel kullanıcı ayrıcalıklarına sahip bir saldırganın daha önce hafifletilmiş güvenlik açıklarını yeniden tanıtmasına veya Sanallaştırma Tabanlı Güvenliğin (VBS) bazı özelliklerini atlatmasına" izin verdiğini söyledi.

Bununla birlikte, kusurdan yararlanmaya çalışan bir saldırganın, bir Yöneticiyi veya yetkilendirilmiş izinlere sahip bir kullanıcıyı, yanlışlıkla güvenlik açığını tetikleyen bir sistem geri yüklemesi gerçekleştirmeye ikna etmesi gerekeceğini belirtti.

İkinci güvenlik açığı ayrıca, VBS'yi destekleyen Windows sistemlerinde, bir düşmanın Windows sistem dosyalarının mevcut sürümlerini eski sürümlerle değiştirmesine etkili bir şekilde izin veren bir ayrıcalık yükseltme durumuyla da ilgilidir.

CVE-2024-21302'nin sonuçları, daha önce ele alınan güvenlik açıklarını yeniden ortaya çıkarmak, VBS'nin bazı özelliklerini atlamak ve VBS tarafından korunan verileri sızdırmak için silah haline getirilebilmesidir.

Windows Downdate adlı bir aracı detaylandıran Leviev, "tamamen yamalı bir Windows makinesini binlerce geçmiş güvenlik açığına duyarlı hale getirmek, sabit güvenlik açıklarını sıfır güne dönüştürmek ve 'tamamen yamalı' terimini dünyadaki herhangi bir Windows makinesinde anlamsız hale getirmek" için kullanılabileceğini söyledi.

Leviev, aracın "kritik işletim sistemi bileşenlerinde tamamen tespit edilemez, görünmez, kalıcı ve geri döndürülemez sürüm düşürmeleri oluşturmak için Windows Update sürecini devralabileceğini ve bu da ayrıcalıkları yükseltmeme ve güvenlik özelliklerini atlamama izin verdiğini" ekledi.

Ayrıca, Windows Downdate, bütünlük doğrulaması ve Güvenilir Yükleyici zorlaması gibi doğrulama adımlarını atlayabilir ve dinamik bağlantı kitaplıkları (DLL'ler), sürücüler ve NT çekirdeği dahil olmak üzere kritik işletim sistemi bileşenlerinin eski sürüme geçirilmesini etkili bir şekilde mümkün kılar.

Bunun da ötesinde, sorunlar, Credential Guard'ın İzole Kullanıcı Modu Sürecini, Güvenli Çekirdeği ve Hyper-V'nin hipervizörünü düşürmek, geçmiş ayrıcalık yükseltme güvenlik açıklarını ortaya çıkarmak ve Hiper Yönetici Korumalı Kod bütünlüğü (HVCI) gibi özelliklerin yanı sıra VBS'yi devre dışı bırakmak için kullanılabilir.

Net sonuç, tamamen yamalı bir Windows sisteminin geçmişteki binlerce güvenlik açığına karşı duyarlı hale getirilebilmesi ve düzeltilen eksiklikleri sıfır güne dönüştürebilmesidir.

Bu sürüm düşürmeler, işletim sisteminin sistemin tamamen güncellendiğini bildirmesi ve aynı zamanda gelecekteki güncellemelerin yüklenmesini engellemesi ve kurtarma ve tarama araçları tarafından algılanmasını engellemesi açısından ek bir etkiye sahiptir.

Leviev, "Windows içindeki sanallaştırma yığınında başarabildiğim sürüm düşürme saldırısı, daha az ayrıcalıklı sanal güven düzeylerinin/halkalarının daha ayrıcalıklı sanal güven düzeylerinde/halkalarında bulunan bileşenleri güncellemesine izin veren bir tasarım hatası nedeniyle mümkün oldu" dedi.

"Microsoft'un VBS özelliklerinin 2015 yılında duyurulduğu göz önüne alındığında, bu çok şaşırtıcıydı, yani keşfettiğim sürüm düşürme saldırı yüzeyi neredeyse on yıldır var."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.