Bilgisayar Korsanları Döküm Dosyaları Yoluyla Visual Studio RCE Güvenlik Açıklarından Yararlanıyor

Visual Studio, öncelikle “C#”, “C++” ve “Visual Basic” gibi çeşitli programlama dillerinde uygulamalar geliştirmek için kullanılan, Microsoft’un güçlü bir IDE’sidir.

“Hata ayıklama araçları”, “IntelliSense ile kod düzenleyici” ve “sürüm kontrol sistemleri desteği” gibi zengin özellikler sunar.

Milos (diğer adıyla Ynwarcs) yakın zamanda “CVE-2024-30052” olarak takip edilen ve bilgisayar korsanlarının döküm dosyaları aracılığıyla “Visual Studio”dan yararlanmasına olanak tanıyan bir RCE güvenlik açığı keşfetti.

Bilgisayar Korsanları Döküm Dosyaları Yoluyla Visual Studio’yu İstismar Ediyor

Visual Studio geliştiricileri, ‘hata ayıklama oturumları’ sırasında döküm dosyalarını (çöken programların “bellek anlık görüntüleri”) rutin olarak analiz eder. Ancak bu yaygın uygulama, özellikle “güvenilmeyen kaynaklardan” gelen dosyaları işlerken “güvenlik riskleri” taşır.

Bu döküm dosyaları, ayrıntılı program durumlarını ve kilitlenme bilgilerini içerir ve genellikle “Chrome’daki Google Crashpad” gibi otomatik kilitlenme raporlama sistemlerinden ve “kullanıcı tarafından gönderilen destek biletleri” aracılığıyla kaynaklanır.

Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free

Güvenlik açığı (“Visual Studio 2022 17.8.11”de yamalanan (“CVE-2024-30052”), özellikle “hata ayıklama bilgilerini” depolayan ve “yürütülebilir dosyalar” içine yerleştirilebilen “PDB dosyalarını” içerir.

Yönetilen döküm dosyalarında “tam yığın belleği” ile hata ayıklanırken Visual Studio, özellikle “çökme yığın izlemesi” ile ilgili kaynak dosyaları içeren gömülü ‘PDB’leri otomatik olarak işler.

Güvenlik kaygısı, Visual Studio’nun bu dosyalarda yazdırılamayan karakterlerle karşılaşıldığında gösterdiği davranıştan kaynaklanmaktadır.

Varsayılan olarak bunları, “kötü amaçlı kodun” yürütülmesine yardımcı olan belirli dosya uzantıları (“.hta”, “.chm” ve “.py” gibi) için işletim sisteminin ilişkili programlarını kullanarak açarsınız.

Bu güvenlik açığı, “Taşınabilir PDB formatı”, “gömülü hata ayıklama sembolleri” ve “Visual Studio’nun hata ayıklama dizini girişleri” gibi meşru özelliklerden yararlandığı için endişe vericidir; bu da onu geleneksel “bellek bozulması korumalarından” kaçan karmaşık bir saldırı vektörü haline getirir.

Süreçte “-debug:portable” derleme bayrakları kullanıldı ve Visual Studio’nun doğrulama kontrollerinden kaçınmak için PDB’nin “belge tablosu karmasının” değiştirilmesini içeriyordu.

Bu istismar, değiştirilen PDB’nin “tam bellek dökümü” (‘DumpType 2’) oluşturan bir yürütülebilir dosyaya yerleştirilmesi ve Visual Studio’nun “Yönetilen Hata Ayıklama” işlevinin tetiklenmesiyle çalıştı.

Döküm dosyalarında hata ayıklarken, Visual Studio, gömülü kaynakları “harici düzenleyiciler” aracılığıyla, bu Keyfi Kod Yürütme (ACE) yoluyla “hh.exe” (CHM için), “mshta.exe” ( gibi yürütülebilir dosyalar ile ilişkili çeşitli dosya uzantıları aracılığıyla açmaya çalışır. HTA için) ve “python.exe” (PY dosyaları için).

Bu dosya türlerinin kötü amaçlı işlevlerini korurken “yazdırılamayan karakterler” içerebilmesi nedeniyle güvenlik açığı özellikle etkili oldu.

Bunun yanı sıra, “CHM dosyaları Visual Basic kodunu çalıştırabilir”, “HTA dosyaları gömülü komut dosyalarını çalıştırabilir” ve “Python dosyaları, NUL karakterleriyle dikkatlice hazırlanmış komut dosyaları aracılığıyla rastgele komutları çalıştırabilir.”

Bu güvenlik açığı ilk olarak 14 Ağustos 2023’te Microsoft’a bildirildi ve başlangıçta “orta düzeyde etki” veya “derinlemesine savunma” olarak sınıflandırıldı, ancak daha sonra “önemli” olarak yeniden değerlendirildi.

Bu, hata ayıklama oturumları sırasında izinsiz dosya yürütülmesini önlemek için “CVsUIShellOpenDocument::OpenStandardEditor” işlevinde yeni güvenlik kontrolleri uygulayan nihai yama sürümünün 11 Haziran 2024’te “Visual Studio 17.8.11″de yayınlanmasına yol açtı.

Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Free Registration