Saldırganlar, ham disk sektörlerini doğrudan okuyarak uç nokta algılama ve yanıt (EDR) araçlarını ve dosya kilitlerini atlayabilir ve kuruluşların Windows sistemlerine yüklenen sürücüleri denetlemesi ve güvence altına almaları için acil ihtiyacını vurgulayabilir.
Modern Windows ortamlarında sürücüler donanım ve disk işlevlerine düşük seviyeli erişim sağlar.
Workday’ın saldırı güvenlik ekibinin yakın tarihli bir soruşturması, Varsayılan veya savunmasız bir sürücünün, EDR uyarılarını veya standart dosya erişim kontrollerini tetiklemeden SAM kovanı, sistem kovanı ve ntds.dit gibi ham disk verilerini okumak ve hassas dosyaları çıkarmak için nasıl istismar edilebileceğini ortaya çıkardı.
Bu tekniğin merkezinde, çiğ disk okumaları için basit bir arayüz açığa çıkaran Eudskacs.sys adlı savunmasız bir sürücü (CVE-2025-50892) vardır.
Sürücüye bir sap açarak, bir saldırgan bayt ofseti ve uzunluğu belirleyebilir. Sürücü bu isteği, gerçek disk sektörlerini okumak için disk.sys, storport.sys ve donanımın miniport sürücüsü üzerinden Windows sürücü yığınından aşağı doğru ilerler.
Veriler, hedef dosyaları doğrudan açmadan saldırgana geri akar.
Bu yaklaşım, olağan dosya API’leri (CreateFile ve Readfile gibi) yerine ham sektör okumalarını kullandığından, birden fazla savunmayı ortadan kaldırır:
- Erişim Denetim Listeleri (ACL’ler): Saldırı, normalde yalnızca sistem dosyalarına erişimi kısıtlayan dosya düzeyinde ACL’leri yok sayar.
- Özel dosya kilitleme: SAM Hive gibi kilitli dosyalar standart API’ler aracılığıyla okunamıyor, ancak ham okumalar engellenmiyor.
- Sanallaştırma tabanlı güvenlik (VBS) ve kimlik bilgisi koruması: Bunlar LSASS belleğini korur, ancak ham disk okumalarını durdurmaz.
- Windows Kaynak Koruması (WRP): Yetkisiz değişiklikleri önler, ancak disk sektörlerinin doğrudan okumalarını önler.
- EDR Çekirdek Kancaları: NTReAdfile gibi çoğu EDRS kanca işlevi. Ham disk okumaları daha düşük bir seviyede meydana gelir, bu nedenle EDR’ler “SAM DOSYASI okuma” değil, yalnızca “Sektör X’i Oku” komutlarını bkz.
- Windows Denetim: Nesne Erişim Denetimi Günlükler Dosya tabanlı erişim ancak sektör düzeyinde işlemler değil.
Bir saldırgan ham disk verileri aldığında, NTFS dosya sistemini ayrıştırmalıdır. Bu, bölümleri bulmak için Ana Önyükleme Kayıtını (MBR) veya Guid Bölüm Tablosunun (GPT) okumasını, ardından Ana Dosya Tablosunu (MFT) bulmak için Volume Boot Kaydını (VBR) okumayı içerir.
MFT kayıtları, içeriği dosyalamak için meta veri ve işaretçiler (veri çalışmaları) içerir. Veri çalıştırmalarını kodlayarak – bayt, çalışma uzunluğu ve çalışma ofseti – saldırılar, her dosyanın kümeleri için mantıksal blok adreslerini (LBA’lar) hesaplayabilir, ardından tam dosyaları birleştirmek için daha fazla ham okuma verebilir.
Bir NTFS ayrıştırıcısı yazmak karmaşık olabilirken, ham-disk-parser gibi açık kaynaklı projeler görevi kolaylaştırır.
Üçüncü taraf bir sürücüyü yüklemeden bile, yönetici düzeyinde bir kullanıcı doğrudan diske bir kolu açabilir.
Savunma Önerileri:
- Denetim Sürücüleri: Kurulu sürücüleri düzenli olarak inceleyin ve gereksiz veya aşırı izin veren güvenlik tanımlayıcılarına sahip olanları kaldırın.
- Sıkı SDDL’yi zorlayın: Sürücülerin idari ayrıcalıklar gerektirdiğinden emin olun (“D: P (A ;; GA ;; WD)” veya benzeri geniş SDDL dizelerini kısıtlayın).
- Monitör sektörü okurlar: Ham disk okumalarının olağandışı kalıplarını veya sektör seviyesi G/Ç isteklerini tespit etmek için EDR’leri ve SIEM’leri geliştirin.
- Harden ayrıcalıkları: Disk.sys’e erişebilen veya sürücüleri yükleyebilen idari haklara sahip kullanıcı sayısını sınırlayın.
Sürücü arayüzlerini anlayarak ve güvence altına alarak, kuruluşlar bu gizli saldırı vektörünü kapatabilir ve en hassas verilerini koruyabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.