Güvenlik araştırmacıları, Windows 11’deki çekirdek adres alanı düzen randomizasyonunu (Kaslr) atlamak için yeni bir teknik keşfettiler ve saldırganların bellekte çekirdek bileşenlerini güvenilir bir şekilde bulmasını önlemek için tasarlanmış kritik bir güvenlik özelliğini zayıflattı.
Kaslr, sistemin her önyüklendiğinde çekirdeği randomize bir bellek adresine yükleyerek çalışır ve saldırganların istismarlarını nereden hedefleyeceklerini tahmin etmesini zorlaştırır.
Bu randomizasyon, yüksek sistem ayrıcalıkları elde etmek için aksi takdirde kullanılabilecek bellek yolsuzluk güvenlik açıklarına karşı temel bir savunma görevi görür.
.png
)
Yeni belgelenen bypass yöntemi, Windows işletim sisteminin çekirdeği olan ntoskrnl.exe’nin konumunu belirlemek için CPU önbellek zamanlama farklılıklarından yararlanır.
Bu teknik özellikle ilgilidir, çünkü NTQuerySystEMinformation () işlevselliğini kullanarak KaslR’yi özel olarak atlamak için önceki 24H2 güncellemesi de dahil olmak üzere tam güncellenmiş Windows 11 sistemlerinde bile çalışır.
R0KEB, bypass tekniğinin modern CPU mimarilerindeki temel davranışları, özellikle işlemcilerin bellek önbelleğini nasıl ele aldığını belirledi.
Ayrıntılı bir teknik dökümde, R0KEB, saldırının, önbelleğe alınmış (geçerli) adresler ile erişim sürelerini potansiyel çekirdek bellek adreslerine ölçerek çalıştığını gösterdi.
Araştırmacı, yöntemin “istismar-forale” olarak bilinen bir araştırmacı tarafından önceki çalışmalara dayandığını kabul etti.
Önceki bypass yöntemlerinden farklı olarak, bu teknik SedeBugPrivilege gibi yüksek ayrıcalıklar gerektirmez, bu da onu sınırlı sistem erişimi ile çalışan saldırganlar için erişilebilir hale getirir.
Bu, potansiyel saldırı yüzeyini önemli ölçüde genişletir ve Windows çekirdeğini hedefleyen daha sofistike istismarlar için bir basamak taş görevi görebilir.
Önbellek yan kanallı uygulama detayları
Bu bypass tekniğinin çekirdeği spekülatif yürütme ve ön-kanal saldırılarına dayanmaktadır.
Uygulama, hangi bellek adreslerinin CPU tarafından zaten önbelleğe alındığını tespit etmek için sofistike bir zamanlama ölçüm sistemi oluşturur-bu adreslerin çekirdek tarafından aktif olarak kullanıldığına dair güçlü bir gösterge.
Saldırı, özellikle ntoskrnl.exe’nin kaslr kısıtlamaları nedeniyle bulunabileceği 0xffff80000000000 ve 0xfffff80800000000 arasındaki adres aralığını hedefler.
İstismarın merkezi işlevi, bu anahtar kod snippet’inde gösterildiği gibi, ön fetchnta ve prepetcht2 talimatları ile dikkatli CPU talimat sıralaması kullanarak her bir potansiyel adrese erişim sürelerini tekrar tekrar ölçer:-
prefetchnta byte ptr [r10]
prefetcht2 byte ptr [r10]
mfence
rdtscpBu dizi, istismarın her bellek adresine erişmenin ne kadar sürdüğünü tam olarak ölçmesini sağlar.
Olası tüm konumlar için zamanlama verileri topladıktan sonra, kod, sürekli olarak daha hızlı erişim süreleri olan adresleri tanımlamak için istatistiksel analiz gerçekleştirerek ntoskrnl.exe’nin gerçek konumunu ortaya çıkarır.
Mevcut Windows 11 sistemlerinde test edildiğinde, teknik Microsoft’un en son güvenlik önlemlerine karşı etkinliğini doğrulayarak yüksek ayrıcalıklar gerektirmeden doğru çekirdek taban adresini başarıyla ortaya çıkardı.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers