0patch araştırmacıları, iki yama denemesine rağmen, saldırganların kötü amaçlı bir Windows tema dosyası aracılığıyla Windows kullanıcısının NTLM (kimlik doğrulama) kimlik bilgilerini tehlikeye atmasına olanak tanıyan bir güvenlik sorununun Microsoft’un işletim sistemini hâlâ etkilediğini keşfetti.
Keşfe giden yol
Hikaye, Akamai güvenlik araştırmacısı Tomer Peled tarafından bildirilen ve Ocak 2024’te Microsoft tarafından düzeltilen bir Windows Temaları kimlik sahtekarlığı güvenlik açığı olan CVE-2024-21320 ile başlıyor.
Güvenlik açığı bir şey tarafından tetiklenebilir .tema Bazı tema özellikleri için bir ağ dosyası yolu belirten dosya (özellikle MarkaResmi Ve Duvar kağıdı), bu da Windows’un saldırganın makinesine otomatik olarak kimliği doğrulanmış ağ istekleri göndermesine neden olur.
Saldırının çalışması için hedeflenen kullanıcının dosyayı tıklaması veya açması bile gerekmeyecek: “Sadece bir klasörde kötü amaçlı bir tema dosyasının listelendiğini görmek [in Windows Explorer] 0patch araştırmacıları, “Bu dosyaların masaüstüne yerleştirilmesi veya masaüstüne yerleştirilmesi, herhangi bir ek kullanıcı eylemi gerektirmeden kullanıcının kimlik bilgilerinin sızdırılması için yeterli olacaktır” dedi.
Microsoft’un yaması işe yaradı ancak PathIsUNC ağ dosya yollarını kontrol etme ve dikkate almama işlevidir ve bu kontrol atlanabilir (güvenlik araştırmacısı James Forshaw’un yıllar önce işaret ettiği gibi).
Microsoft, aynı sorunun başka bir örneğini gözden kaçırdığı için eksik olduğu ortaya çıkan yeni bir düzeltme eki (CVE-2024-38030) yayınlayarak yanıt verdi.
Bu hata varyasyonu 0patch araştırmacıları tarafından keşfedildi ve sözcüsü Help Net Security’ye “müşterilerin korunmasına yardımcı olmak için gerektiğinde harekete geçeceklerini” söyleyen Microsoft’a bildirildi.
Mikro yamalar artık mevcut
0patch’in siber güvenliğe en büyük katkısı, ya yaygın olarak istismar edilen ya da resmi satıcı yamaları olmayan güvenlik açıklarına yönelik mikro yamaların geliştirilmesinde yatmaktadır. Mikro yamalar kullanıcılara bir uç nokta aracısı aracılığıyla iletilir.
“Bir güvenlik açığını düzelttiğimizde bilgimize güveniriz, kendi deneylerimizi yaparız, ancak aynı zamanda satıcının bunu nasıl yamaladığına da bakarız (eğer bir yama mevcutsa). Satıcının yaması makul görünüyorsa mantıksal olarak eşdeğerini yaparız, aksi halde kendi yaklaşımımızı benimseriz” diyor 0patch’in yaratıcısı Acros Security CEO’su Mitja Kolsek.
“CVE-2023-23397 buna iyi bir örnek: Microsoft, Outlook’taki gerçekten belirsiz ve tuhaf bir işlevi düzeltmeye karar verdi (saldırganın e-postası, onu aldığınızda çalınan bir ses dosyasına referans içerebilir). Herhangi bir düzeltmenin muhtemelen eksik olacağından şüphelendiğimiz için işlevselliği kaldırmaya karar verdik. Microsoft’un (şu ana kadar) sorunu üç kez yeniden düzeltmek zorunda kalması nedeniyle bunun doğru olduğu ortaya çıktı.”
CVE-2024-21320 durumunda, Microsoft’un yamasına çok çabuk “güvendiklerini” söylüyor. Ancak CVE-2024-38030, farklı bir yaklaşımın gerekli olduğunu fark etmelerini sağladı.
“Bir tema dosyasını görüntülerken istenen tüm yolları araştırdık ve hepsinin geçtiği kodda ortak bir yer bulmak istedik. Böyle bir işlev bulduk ve ona yama uyguladık, ancak aslında tüm durumları kapsamıyordu, bu nedenle Microsoft’un (ve bizim) orijinal olarak yamaladığımız işlevler üzerinde ek yamalar tutmak zorunda kaldık,” diye konuştu Kolsek Help Net Security’ye.
“Bizim görüşümüze göre Microsoft’un yama(lar)ının konumu, bilinen ilk iki güvenlik açığı parametresi için iyi seçilmişti. Şimdi yığına eklediğimiz sıfır gün ile yamayı şu anda yamaladığımız fonksiyona taşımayı seçebilirler. Ancak bunu yaparlarsa, CVE-2024-38030 için orijinal yamaları saklamalılar, aksi takdirde yeni bir yama turuna hazır olacaklar.”
CVE-2024-21320, CVE-2024-38030 ve CVE-2024-38030 hakkındaki ayrıntıların kamuya açık olmasıyla, diğer motivasyonlu güvenlik araştırmacıları veya saldırganlar 0patch tarafından ortaya çıkarılan sıfır günü tam olarak tespit edebilir. Kolsek, “Aslında bunu yalnızca biz bulsaydık çok şaşırırdım” diye ekledi.
Microsoft düzeltmeyi sunana kadar, ister desteklenen Windows sürümlerinden birini ister şirketin “güvenlik açısından benimsediği” eski sürümlerden birini kullanıyor olsunlar, tüm 0patch kullanıcıları bu en son mikro yamayı alacak.
“Yamaların yalnızca Windows Workstation için oluşturulduğunu, Windows Server için oluşturulmadığını unutmayın. Bunun nedeni, Windows Temalarının bir sunucuda çalışabilmesi için Masaüstü Deneyimi özelliğinin yüklenmesinin gerekmesidir (varsayılan olarak değildir). Ayrıca, bir sunucuda kimlik bilgilerinin sızması için bir tema dosyasını yalnızca Windows Gezgini’nde veya masaüstünde görüntülemek yeterli değildir; bunun yerine tema dosyasına çift tıklanması ve temanın bu şekilde uygulanması gerekiyor,” diye açıkladı 0patch araştırmacıları.
“Aslında güvenilmeyen bir kaynaktan gelen bir Windows temasını uygulamak, güvenlik açısından, güvenilmeyen bir yürütülebilir dosyayı başlatmaktan çok da farklı değil. Öte yandan, bir kullanıcının Windows Gezgini’nde bir tema dosyasını görüntülemesini sağlamak, kullanıcı saldırganın web sayfasındayken tema dosyasını indirmeye zorlamak ve ardından kullanıcının İndirilenler klasörünü açmasını beklemek gibi basit bir mesele olabilir ( İndirilenler klasörünün görünüm türüne bağlı olarak).