Bonjour hizmetinde, özellikle yerel alan ağları genelinde ağ keşfi için kullanılan mDNSResponder.exe işleminde kritik bir güvenlik açığı tespit edildi. Bu güvenlik açığı hem macOS hem de Windows sistemlerini etkileyerek saldırganların hedeflenen bir sistem içinde ayrıcalıkları artırmasına olanak tanıyabilir.
Apple tarafından geliştirilen sıfır yapılandırmalı bir ağ protokolü olan Bonjour, yerel ağlarda cihaz ve servis keşfini kolaylaştırmak için Çoklu Yayın DNS’ini (mDNS) kullanır.
Bu güvenlik açığı, bu hizmetin belirli ağ isteklerini nasıl ele aldığından kaynaklanır ve ayrıcalık yükseltme saldırılarına olanak tanır. Bir saldırgan, mDNSResponder hizmetini hedef alan kötü amaçlı ağ istekleri oluşturarak bu zayıflıktan faydalanabilir ve potansiyel olarak sistemdeki daha yüksek ayrıcalık seviyelerine yetkisiz erişim elde edebilir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Uzaktan İstismar Edilen Güvenlik Açığı
Güvenlik açığı, önceden kimlik doğrulaması gerektirmediği için uzaktan kullanılabilir. Saldırganlar, özel olarak hazırlanmış çoklu yayın DNS sorguları göndererek ayrıcalıkları artırmak için hizmeti manipüle edebilir, SecureLayer7 analizini okur.
Bu durum, sisteme herhangi bir ilk erişim olmadan çalıştırılabilmesi nedeniyle açığı özellikle tehlikeli hale getiriyor.
İstismar, gelen isteklerin hizmet tarafından yanlış işlenmesinden faydalanan kötü amaçlı bir mDNS sorgu yükü göndermeyi içerir. Yük yapısı genellikle şunları içerir:
- Yük Türü: Kötü amaçlı mDNS sorgusu.
- Yükün Yapılandırılması: Sorgu, hizmetin yükseltilmiş izinlerle işlemek üzere yanlış yapılandırıldığı bir kaynağı istiyor.
Yürütme akışı basittir: Saldırgan, kötü amaçlı sorguyu mDNSResponder hizmetine gönderir, mDNSResponder hizmeti sorguyu yanlış bir şekilde işler ve bu da potansiyel olarak ayrıcalıkları yükseltilmiş keyfi kodun yürütülmesine yol açabilir.
Bu güvenlik açığından yararlanmanın sonuçları ciddi olabilir. Yükseltilmiş ayrıcalıklara sahip bir saldırgan şunları yapabilir:
- Güvenlik önlemlerini aşarak hassas verilere erişin.
- Kritik sistem ayarlarını değiştirerek operasyonları aksatma potansiyeline sahip olabilirsiniz.
- Tehlikeye atılan sistemi bir dayanak noktası olarak kullanarak ağ içinde daha fazla saldırı gerçekleştirin.
Azaltma Stratejileri
Bu güvenlik açığının giderilmesi için proaktif önlemler alınması gerekiyor:
- Yazılımınızı Düzenli Olarak Güncelleyin: Tüm yazılım ve hizmetlerin en son güvenlik yamalarıyla güncel olduğundan emin olun.
- Ağ Erişimini Kısıtla: mDNSResponder hizmetinin görünürlüğünü yalnızca güvenilir cihazlarla sınırlayın.
- Güvenlik Duvarı Kurallarını Uygula: Yetkisiz kaynaklardan gelen çok noktaya yayın DNS isteklerini filtrelemek için güvenlik duvarlarını kullanın.
Bu stratejiler riski tamamen ortadan kaldırmasa da, başarılı bir saldırı olasılığını önemli ölçüde azaltabilir, hassas bilgileri ve sistemleri koruyabilir.
Kuruluşlar Bonjour gibi ağ hizmetlerine giderek daha fazla güvendikçe, olası güvenlik açıklarını anlamak ve azaltmak hayati önem taşıyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!