Yeni belgelenen bir teknik, saldırganların en katı Windows Defender uygulama kontrolü (WDAC) politikalarını bile atlamak için Windbg önizleme hata ayıklayıcısından nasıl yararlanabileceğini ve kurumsal güvenlik kontrollerinde önemli bir boşlukla ilgili endişeleri artırabileceğini ortaya koyuyor.
“Windbg önizleme istismar” olarak adlandırılan istismar, hata ayıklayıcının kod yürütme ve uzaktan işlem enjeksiyonunu elde etmek için gelişmiş yeteneklerinden yararlanır ve aksi takdirde imzasız veya yetkisiz kodu engelleyecek savunmaları etkili bir şekilde öne çıkarır.
İstismar nasıl çalışır
Cerbersec raporuna göre, saldırı genellikle sağlam WDAC politikalarıyla yapılandırılan sıkı bir şekilde kilitli bir ortamda başlar.
.png
)
Bu politikalar, imzasız yürütülebilir veya DLL’lerin yürütülmesini önlemek için tasarlanmıştır ve yaygın olarak kullanılan sistem araçları (“kara geçirme ikili dosyaları” veya lolbins olarak bilinir) tipik olarak bloke edilir.
Ancak, birçok kuruluş Microsoft Store’u etkin bırakarak kullanıcıların Microsoft’un varsayılan WDAC blok listesine dahil olmayan Windbg Önizlemesi (Windbgx.exe) gibi uygulamaları yüklemelerine izin verir.
Windbg önizlemesi yüklendikten sonra, bir saldırgan onu bir hedef sürece rastgele kabuk kodunu enjekte etmek için kullanabilir.
İşlem, kabuk kodunun bir Windbg komut dosyası biçimine dönüştürülmesini ve hata ayıklayıcının komut dosyasının komut dosyası özelliklerini kullanarak belleğe belleğe yüklenmesini içerir.
Saldırgan daha sonra OpenProcess, VirtualLocex, WriteProcessMemory ve CreateMotethread gibi Windows API işlevlerini çağırmak için Windbg komutlarını kullanır, tüm standart yürütme yolları WDAC tarafından engellense bile başka bir işlemde kodu etkili bir şekilde enjekte eder ve yürütür.
İstismar, tipik olarak WDAC tarafından incelenen ve bloke edilen geleneksel yürütülebilir dosyalara veya DLL’lere güvenmez.
Bunun yerine, aksi takdirde yasaklanacak eylemleri gerçekleştirmek için meşru bir hata ayıklama aracı olan Windbg önizlemesinin güvenilir durumunu kötüye kullanır.
Bu teknik, birçok kuruluşun güvenlik duruşlarında kritik bir gözetim vurgulamaktadır.
Microsoft, WDAC için önerilen bir blok listesi tutarken, şu anda eski windbg.exe’yi içerir, ancak Microsoft Store üzerinden yüklenen yeni Windbg önizlemesini içermez.
Sonuç olarak, saldırganlar güvenli olduğu varsayılan sistemlerde kod yürütme kazanmak için bu boşluğu kullanabilirler.
Güvenlik uzmanları birkaç azaltma önerir:
- WDAC blok listelerini güncelleyin Sadece eski sürümleri değil, Windbg önizlemesini (windbgx.exe) açıkça dahil etmek.
- Microsoft Store’u devre dışı bırakın Gerekli olmadığı yerde uç noktalarda, kullanıcıların potansiyel olarak sömürülebilir araçlar kurma riskini azaltır.
- Hata ayıklama araçlarının şüpheli kullanımını izleyinözellikle SetThreadContext () gibi API’lere süreç enjeksiyon tekniklerini veya sık sık çağrılar çağıranlar.
“Windbg önizleme istismarı, saldırganların Windows Defender politikalarından kaçmasına izin verir”, güvenliğin yalnızca en zayıf bağlantısı kadar güçlü olduğunu hatırlatıyor.
Kuruluşlar, WDAC politikalarını proaktif olarak gözden geçirmeli ve güncellemelidir, bu da modern hata ayıklama araçları da dahil olmak üzere tüm potansiyel vektörlerin hesaba katılmasını ve uygun şekilde kısıtlanmasını sağlamalıdır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!