Windows sürücüsü afd.sys’de CVE-2024-38193 adı verilen kritik bir serbest kullanım sonrası güvenlik açığı bulundu. Windows yuvaları için Kayıtlı G/Ç (RIO) uzantısını etkiler ve eklerin tüm sistemi uzaktan ele geçirmesine olanak tanır. Ağustos 2024 Yaması Salı güncellemesi bu güvenlik açığını giderdi.
Kusur, sistem çağrılarını en aza indirerek soket programlamayı optimize etmek için kullanılan afd.sys sürücüsünün RIO bileşeninde yatıyor.
Sorun, iki fonksiyon arasındaki yarış durumundan dolayı ortaya çıkıyor, AfdRioGetAndCacheBuffer() Ve AfdRioDereferenceBuffer(). Bu durum, kötü niyetli aktörler tarafından serbest bırakılan belleğe erişmek için kullanılabilir ve potansiyel olarak ayrıcalık artışına yol açabilir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Teknik Analiz
RIO uzantısı, kullanıcı alanı programlarının büyük arabellekleri kaydetmesine izin vererek verimli gönderme ve alma işlemlerini kolaylaştırır. Ancak, tampon kayıt ve kayıt silme işlemlerinin manipüle edilmesiyle bahsedilen işlevler arasındaki yarış durumu tetiklenebilmektedir. Bu sömürü birkaç karmaşık adımı içerir:
- Yığın Püskürtme: Kötü niyetli kullanıcılar, disk belleği olmayan havuzu adlandırılmış kanallar kullanarak sahte RIOBuffer yapılarıyla doldurabilir ve bu da istismar için uygun koşullar yaratabilir.
- Ücretsiz Kullanım Sonrası Kullanımın Tetiklenmesi: Bu istismar iki iş parçacığı gerektirir; biri sürekli arabellek kullanımı için, diğeri arabellek kaydının silinmesi için. Yarış koşulu başarılı olursa, önbellekteki girişlerin serbest bırakılmış RIOBuffer yapılarına işaret etmesiyle sonuçlanır.
- Ayrıcalık Yükseltmesi: Bu istismar, NT AUTHORITY\SYSTEM ayrıcalıkları kazanmak için potansiyel olarak kritik çekirdek bellek konumlarının üzerine yazarak bu yapılar üzerinde kontrolü ele alır.
Birincil yararlanma stratejisi, disk belleği olmayan havuz içinde sahte RIOBuffer yapılarının işlenmesini içerir. Saldırganlar, eşzamanlı iş parçacıkları oluşturarak afd.sys sürücüsünü bu serbest bırakılan yapıları kullanacak şekilde yönlendirebilir ve böylece rastgele okuma ve yazma işlemleri gerçekleştirebilirler.
“Bu, sonuçta ayrıcalık artışına olanak sağlıyor. Disk belleği olmayan havuz kurulumu tamamlandıktan sonra serbest kullanım sonrası güvenlik açığını tetikleyebiliriz.”
Bunu tetiklemek için, istismarın iki eşzamanlı iş parçacığı oluşturması gerekir. biri okuma/yazma istekleri göndererek kayıtlı arabellekleri kullanmaya devam eder, diğeri ise tüm kayıtlı arabellekler arasında döngü yaparak bunların kaydını silmeye çalışır.” Exodus araştırmacısı şunları söyledi:
Microsoft bu güvenlik açığını gideren bir yama yayımladı. Potansiyel istismar risklerini azaltmak için kullanıcılara ve kuruluşlara Ağustos 2024 güvenlik güncellemelerini derhal uygulamalarını öneriyoruz. Yöneticiler ayrıca tüm sistemlerin güncel antivirüs yazılımı çalıştırdığından ve güvenlik güncellemelerini otomatik olarak uygulayacak şekilde ayarlandığından emin olmalıdır.
CVE-2024-38193, zamanında yama yönetiminin ve dikkatli sistem izlemenin önemini vurgulamaktadır. Güvenlik açığı önemli bir risk oluştursa da en son güvenlik güncellemelerinin uygulanması tehdidi etkili bir şekilde etkisiz hale getirebilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın