Saldırganların Windows sistemlerinde son derece hassas dosyaları okumasını sağlayan yeni bir teknik, bu tür ihlalleri önlemek için tasarlanmış modern güvenlik araçlarının çoğunu atlıyor.
Workday’ın Office Güvenlik ekibinden gelen bir rapor, bir bilgisayarın ham diskinden verileri doğrudan okuyarak, kötü amaçlı bir aktörün uç nokta algılama ve yanıtı (EDR) çözümlerini, dosya izinlerini ve kimlik bilgisi dosyalarını çalmak için diğer kritik korumaları nasıl azaltabileceğini açıklar.
Yöntem, tipik olarak güvenlik yazılımı tarafından izlenen standart dosya erişim prosedürlerini önler. Saldırı, bir dosyayı adıyla açmak yerine doğrudan düşük seviyeli disk sürücüleriyle iletişim kurmayı içerir.
Yönetici haklarına sahip bir saldırgan, yerleşik Windows sürücülerini kullanabilir veya daha az ayrıcalıklı bir kullanıcı, fiziksel diskteki belirli bir konumdan ham veri istemek için savunmasız bir üçüncü taraf sürücüsünü kullanabilir.
Bu yaklaşım özellikle gizlidir, çünkü saldırı asla Sam Hive gibi hassas bir dosya istemez. Bunun yerine, belirli bir sektör adresindeki verileri ister.
Bu, adına göre kötü niyetli dosya erişimi arayan birçok güvenlik sisteminin etkinliğe kör olduğu anlamına gelir. EDR çözümü, “sistemin şifre dosyasını açmak” için alarm değerli bir girişim yerine “Sektör 12345’i okuma” isteği görebilir.
”Bu, tekniğin dosya erişim kontrollerinden, özel dosya kilitlerinden ve hatta sanallaştırma tabanlı güvenlik (VBS) gibi gelişmiş savunmalardan kaçmasına izin verir. Ayrıca, varsayılan sistem günlüklerinde hiçbir iz bırakmaz.
Saldırı nasıl çalışır
Bir saldırgan ham disk verilerini elde ettikten sonra, hedef dosyayı yeniden yapılandırmak için onu ayrıştırmalıdır.
Bu işlem NTFS dosya sistemi yapısının yorumlanmasını, disk bölümünü bulmak için ana önyükleme kaydından başlayarak, ardından tüm ses seviyesi için bir dizin görevi gören Ana Dosya Tablosu’nu (MFT) bulmayı içerir.
MFT’yi okuyarak, saldırgan herhangi bir dosyanın verilerinin tam fiziksel konumunu tespit edebilir, kümelerde okuyabilir ve yeniden birleştirebilir – hepsi de dosyayı işletim sisteminden resmi olarak “açmadan”.
Workday ekibi, bu saldırıyı bu ham okuma özelliğini uygunsuz bir şekilde ortaya çıkaran bir sürücüde bir güvenlik açığından (CVE-2025-50892 atanmış) kullanarak gösterdi.
Bununla birlikte, idari ayrıcalıklara sahip herhangi bir kullanıcının bu saldırıyı savunmasız bir sürücüye ihtiyaç duymadan gerçekleştirebileceğini ve bu da birçok kurumsal ortamda ilgili bir tehdit haline getirdiğini vurgularlar.
Bu kadar düşük seviyeli bir saldırıya karşı korunmak zordur, çünkü birçok kuruluşun güvendiği güvenlik katmanlarını atlar. Araştırmacılar, çeşitli önlemleri içeren bir “derinlemesine savunma” stratejisi önerir:
- Tam Disk Şifrelemesi: Bitlocker gibi araçları kullanmak, şifreleme anahtarı olmadan diskteki ham verileri okunamaz hale getirir ve bu saldırıyı önemli ölçüde engeller.
- Ayrıcalıkları kısıtlamak: İdari erişimin sınırlandırılması, saldırganların doğrudan disk sürücüleriyle etkileşime girmesini veya yeni kötü niyetli olanları kurmasını zorlaştırır.
- Ham Erişim Monitörü: Microsoft’un Sysmon gibi araçlarla gelişmiş izleme Ham disk okuma olaylarını (Olay Kimliği 9) algılamak için yapılandırılabilir, ancak bu uyarıları yönetmek için dikkatli bir filtreleme gerektirebilir.
- Sürücü veteriner: Kuruluşlar, Microsoft’un önerilen sürücü blok listesi gibi kaynakları kullanarak imzasız veya bilinmeyen sürücülerin kurulumunu aktif olarak izlemelidir.
Araştırmacılar, ham disk erişimi kavramının yeni olmasa da, modern EDR’lere karşı kanıtlanmış etkinliğinin güvenlik görünürlüğünde önemli bir boşluğu vurguladığı sonucuna varmıştır.
Sofistike hack teknikleri daha erişilebilir hale geldikçe, kuruluşlar tipik işletim sisteminin yüzeyinin altında çalışan tehditleri anlamalı ve savunmalıdır.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.