Ara

Microsoft’un Rekor Yama Güncellemesine Rağmen Yeni Bir Güvenlik Açığı Ortaya Çıktı: Windows 0-Day Tehlikesi

Microsoft'un rekor sayıda güvenlik yaması yayınlamasının hemen ardından, düşük yetkilere sahip Windows kullanıcılarının yönetici hesaplarında hassas değişiklikler yapmasına olanak tanıyan bir exploit kodu yayınlandı. Bu durum, yazılım devi Microsoft'u bir kez daha alarma geçirdi.

Birden fazla güvenlik araştırmacısının çalıştığını belirttiği bu exploit, anonim bir araştırmacı tarafından ortaya çıkarıldı. Bu araştırmacı, yazılım üreticisinin hata raporlarını ele alma şeklinden duyduğu memnuniyetsizliği dile getirmişti. Bugüne kadar, bu takma adlı araştırmacı HiveLegacy gibi toplamda dokuz adet exploit yayınladı. Paylaşılan kavram kanıtı kodunun, kötü niyetli kullanımını engellemek amacıyla basitleştirildiği belirtildi.

“Oldukça Güçlü Bir Temel”

HiveLegacy, Windows Kullanıcı Profili Hizmeti'nde bulunan bir zafiyeti hedef alan bir yetki yükseltme exploit'idir. Bu açık, sınırlı sistem haklarına sahip kullanıcıların (ve muhtemelen daha fazla çalışmayla süreçlerin) yönetici hesabının sınıflar kayıt defteri kovanını (classes registry hive) değiştirerek bir yönetici hesabını tehlikeye atmasına imkan tanıyor. Bu kayıt defteri kovanı, belirli dosya türlerine tıklandığında doğru uygulamanın açılmasını sağlayan bir kaynaktır.

En azından bu, saldırganın bir yönetici hesabıyla ilişkili Windows kayıt defterini değiştirebileceği anlamına geliyor. Mevcut exploit'in çalışması için saldırganın başka bir kullanıcının kimlik bilgilerini bilmesi gerekiyor. Bu hesabın yönetici olması şart değil. Saldırganın ayrıca makinedeki üçüncü bir hesabın kullanıcı adını bilmesi de gerekiyor; bu hesabın da yönetici olup olmaması fark etmiyor.

Bir güvenlik analiz uzmanı, “Bir sistemi yönetici kullanıcı oturum açtığında kodumun çalışacağı şekilde ayarlayabilirsem, fiili yönetici ayrıcalıklarına sahip olmuş olurum. Kendim yönetici olmama gerek kalmaz,” şeklinde konuştu. Uzman, “Yönetici olmayan bir kullanıcının yönetici kullanıcının sınıflar kayıt defteri kovanını değiştirebilmesi oldukça güçlü bir temel oluşturuyor. Kurnaz saldırganlar veya bir şeyler başarmak isteyen kişiler, daha ilginç ve hatta kullanıcı etkileşimi gerektirmeyen şeyler yapmanın yollarını kolayca bulabilirler,” ifadelerini kullandı.

Ayrıca, exploit'in doğrudan bir yönetici hesabına erişim sağlayan ayrı bir açıkla zincirlenebileceği de belirtiliyor.

Başka bir analistin belirttiği gibi, “Yeni bir kullanıcı oturum açtığında, Windows kullanıcının sınıf kovanını yüklemesi gerekir. Kullanıcı oturum açmadan önce oturum açmadığı için (bilindik bir ifadeyle), bu, kullanıcının bağlamında yüklenemez. Bu yüzden NT AUTHORITYSYSTEM'in bağlamında yüklenir. LegacyHive bundan faydalanır.”

Microsoft'tan yapılan açıklamada, güvenlik açığı raporundan haberdar olunduğu ve soruşturulduğu belirtildi. Şirket ayrıca, güvenlik açığı bildiriminde bulunanların koordineli bir açıklama politikasını takip etmelerini tercih ettiklerini kaydetti.

Şu an için sistemlerini HiveLegacy'ye karşı korumak isteyen Windows kullanıcıları, bağımsız araştırmacı tarafından yayınlanan bir tespit betiğini çalıştırabilirler. Diğer savunma yöntemleri arasında yerel kullanıcı olmayan hesap oluşturmayı kısıtlamak, ProfSvc'yi beklenmedik kovan yüklemeleri için izlemek ve NTUSER.DAT/UsrClass.dat aktivitesini takip etmek yer alıyor.

Önceki Haber
Nvidia'dan Yapay Zeka Sektörüne Güven Dolu Mesaj: Vera Rubin Üretimi Devam Ediyor!
Sıradaki Haber
Jurassic Park'taki 90'lar Bilgisayarlarının Gizemi Çözüldü: Detaylı İnceleme!

Benzer Haberler: