Güvenlik araştırmacıları, tehdit aktörleri tarafından güvenlik mekanizmalarını atlatmak ve Microsoft Windows 10 ve Windows 11 çalıştıran sistemlerde kötü amaçlı kod yürütülmesini sağlamak için kullanılabilecek dinamik bağlantı kitaplığı (DLL) arama sırası ele geçirme tekniğinin yeni bir varyantını ayrıntılı olarak açıkladı.
Siber güvenlik firması Security Joes, The Hacker News ile özel olarak paylaştığı yeni bir raporda, yaklaşımın “güvenilir WinSxS klasöründe yaygın olarak bulunan yürütülebilir dosyalardan yararlandığını ve bunları klasik DLL arama sırası ele geçirme tekniği yoluyla istismar ettiğini” söyledi.
Bunu yaparken, saldırganların, güvenliği ihlal edilmiş bir makinede zararlı kod çalıştırmaya çalışırken yükseltilmiş ayrıcalıklara olan ihtiyacı ortadan kaldırmasına ve geçmişte gözlemlendiği gibi potansiyel olarak savunmasız ikili dosyaları saldırı zincirine sokmasına olanak tanır.
DLL arama sırası ele geçirme, adından da anlaşılacağı gibi, savunmadan kaçınma, kalıcılık ve ayrıcalık yükseltme amacıyla kötü amaçlı yükleri yürütmek amacıyla DLL’leri yüklemek için kullanılan arama sırasının oynanmasını içerir.
Spesifik olarak, bu tekniği kullanan saldırılar, ihtiyaç duydukları kitaplıkların tam yolunu belirtmeyen ve bunun yerine gerekli DLL’leri diskte bulmak için önceden tanımlanmış bir arama sırasına dayanan uygulamaları seçer.
Tehdit aktörleri, meşru sistem ikili dosyalarını, yasal olanların adını taşıyan kötü amaçlı DLL’ler içeren standart olmayan dizinlere taşıyarak bu davranıştan yararlanır, böylece saldırı kodunu içeren kitaplık, ikincisinin yerine alınır.
Bu da işe yarar, çünkü DLL’yi çağıran süreç, söz konusu kaynağı bulmak ve yüklemek için diğer konumlar arasında belirli bir sırayla yinelemeli olarak yineleme yapmadan önce ilk olarak çalıştırdığı dizinde arama yapacaktır. Başka bir deyişle arama sırası şu şekildedir:
- Uygulamanın başlatıldığı dizin
- “C:\Windows\System32” klasörü
- “C:\Windows\System” klasörü
- “C:\Windows” klasörü
- Geçerli çalışma dizini
- Sistemin PATH ortam değişkeninde listelenen dizinler
- Kullanıcının PATH ortam değişkeninde listelenen dizinler
Security Joes tarafından tasarlanan yeni değişiklik, güvenilir “C:\Windows\WinSxS” klasöründe bulunan dosyaları hedef alıyor. Windows yan yana ifadesinin kısaltması olan WinSxS, uyumluluk ve bütünlüğü sağlamak amacıyla işletim sisteminin özelleştirilmesi ve güncellenmesi için kullanılan kritik bir Windows bileşenidir.
Ido Naor, kurucu ortağı ve CEO’su “Bu yaklaşım, siber güvenlikte yeni bir uygulamayı temsil ediyor: geleneksel olarak saldırganlar, Windows uygulamalarının harici kitaplıkları ve çalıştırılabilir dosyaları nasıl yüklediğini değiştiren bir yöntem olan DLL arama sırası ele geçirme gibi iyi bilinen tekniklere büyük ölçüde güvendiler.” Güvenlik Joes, The Hacker News ile paylaştığı açıklamada şunları söyledi.
“Bizim keşfimiz bu yoldan sapıyor ve daha incelikli ve sinsi bir sömürü yöntemini ortaya çıkarıyor.”
Özetle fikir, WinSxS klasöründeki (örneğin, ngentask.exe ve aspnet_wp.exe) savunmasız ikili dosyaları bulmak ve onu, WinSxS dosyasıyla aynı ada sahip özel bir DLL dosyasını stratejik olarak yerleştirerek normal DLL arama sırası ele geçirme yöntemleriyle birleştirmektir. Kod yürütmeyi gerçekleştirmek için meşru DLL’yi aktör kontrollü bir dizine aktarın.
Sonuç olarak, sahte DLL dosyasını içeren özel klasörü geçerli dizin olarak ayarlayarak WinSxS klasöründe güvenlik açığı olan bir dosyayı yürütmek, yürütülebilir dosyayı WinSxS klasöründen ona kopyalamak zorunda kalmadan DLL içeriğinin yürütülmesini tetiklemek için yeterlidir.
Güvenlik Joes, WinSxS klasöründe bu tür DLL arama sırası ele geçirme işlemlerine duyarlı ek ikili dosyalar olabileceği ve kuruluşların kendi ortamlarındaki istismar yöntemini azaltmak için yeterli önlemleri almaları gerektiği konusunda uyardı.
Şirket, “Güvenilir ikili dosyalara özel olarak odaklanarak süreçler arasındaki ebeveyn-çocuk ilişkilerini inceleyin” dedi. “Hem ağ iletişimine hem de dosya işlemlerine odaklanarak WinSxS klasöründe bulunan ikili dosyalar tarafından gerçekleştirilen tüm etkinlikleri yakından izleyin.”