SafeBreach’in siber güvenlik uzmanları, saldırganların Windows Defender kullanarak bir bilgisayardaki dosyaları uzaktan silmesine olanak tanıyan ve potansiyel olarak veri kaybına ve sistem kararsızlığına yol açabilecek bir dizi güvenlik açığını ortaya çıkardı.
SafeBreach’in deneyimli güvenlik araştırmacıları Tomer Bar ve Shmuel Cohen, Black Hat konferansındaki konuşmaları sırasında bulguları sundular.
Güvenlik Açıklarını Ortaya Çıkarma
Araştırma ekibinin hedefi, güvenlik sistemlerinde yanlış pozitifleri tetiklemekti ve bu da CVE-2023-24860 güvenlik açığının keşfedilmesine yol açtı.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Araştırmacılar, bu güvenlik açığından yararlanarak, Windows ve Linux sunucularındaki kritik dosyaları kimlik doğrulaması olmadan uzaktan silmenin ve tamamen yamalı sunucularda birden fazla güvenlik kontrolünü atlamanın mümkün olduğunu gösterdi.
Araştırmacılar, özellikle Windows Defender’ı hedef alan Uç Nokta Tespit ve Yanıt (EDR) sistemlerinden bayt imzalarını çıkarmak için bir kara kutu yaklaşımı kullandı.
İkili dosyaları mümkün olan en küçük imzaya indirgemek için 130 benzersiz imzayı tanımlayan bir Python aracı geliştirdiler.
Bu imzalar daha sonra güvenlik açığını test etmek için meşru dosyalara manuel olarak yerleştirildi.
Saldırı Vektörleri ve Gösterimleri
Ekip, web sunucusu günlüklerinin uzaktan silinmesi, Mozilla Thunderbird’deki yerel posta kutusu dosyaları ve Windows olay günlüğü dosyalarının da aralarında bulunduğu çeşitli saldırı vektörlerini sergiledi.
Ayrıca Windows Defender’ın kendi algılama günlüklerini silmesi için nasıl kandırılabileceğini de gösterdiler; bu sürece “kendi kendini yamyamlık” adını verdiler.
Microsoft, ilk rapora CVE-2023-24860 için bir düzeltme yayınlayarak yanıt verdi.
Ancak SafeBreach, düzeltmenin eksik olduğunu ve Microsoft tarafından yalnızca “orta düzey DOS” olarak sınıflandırıldığını ve birçok saldırı vektörünün ele alınmadığını bildirdi.
Öte yandan Kaspersky, sorunun güvenlik açığı olarak sınıflandırılamayacağını belirterek bir düzeltme yayınlamadı.
Daha fazla araştırma, ilk CVE-2023-24860 düzeltmesine bir geçiş olan CVE-2023-36010’un keşfedilmesine yol açtı.
Araştırmacılar, bazı saldırı vektörlerine yama uygulansa da diğerlerinin kullanılabilir durumda kaldığını buldu.
Ayrıca MySQL depolama motorlarını ve dosya formatlarını değiştirerek CVE-2023-36010 yamasını atlamak için bir yöntem de belirlediler.
Microsoft, yanlış pozitifler ve veri kaybı riskini azaltmak için iyileştirmeler uyguladıklarını belirterek araştırmacıların açıklamalarını ve geri bildirimlerini kabul etti.
Ayrıca müşterilerin Defender’ı tüm iyileştirme eylemlerini varsayılan olarak karantinaya alacak şekilde yapılandırmasına da olanak tanıdılar.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.