Fidye yazılımı saldırganları, yükseltilmiş ayrıcalıklar elde etmek için Windows’un sıfır gün güvenlik açıklarından yararlanır. Sıfır gün güvenlik açıkları, güvenlik önlemlerini atlamanın doğrudan bir yolunu sağlayan açıklanmayan kusurlardır.
Tehdit aktörleri, bu güvenlik açıklarından yararlanarak ayrıcalıklarını artırabilir ve şunları yapmalarına olanak sağlayabilir:-
- Daha yüksek sistem erişimiyle kötü amaçlı kod yürütün
- Fidye yazılımı saldırılarının Windows sistemleri üzerindeki etkisini artırın
- Windows sistemlerine yönelik fidye yazılımı saldırılarının başarı oranını artırın
CLFS’yi (Ortak Günlük Dosya Sistemi) anlamak, güvenlik açığının kökenlerini bilmek açısından çok önemlidir. Ortak Günlük Dosya Sistemi (CLFS), 2003’ten bu yana Windows’ta çok yönlü bir günlük alt sistemidir.
İşletim sistemi ve uygulamalar bu alt sistemi kullanır ve clfs.sys sürücüsüne dayanır. Günlükler, Temel Günlük Dosyasındaki (.blf) meta verileri ve API’lerle oluşturulan veri kapsayıcılarını içerir.
Microsoft, clfs.sys için hata ayıklama simgelerinin yardımıyla ters mühendislikle çözülebildiği için BLF’nin biçimini belgelemiyor.
Fidye Yazılımı Windows Sıfır Gününü İstismar Ediyor
Microsoft açıkça vurgulamıyor ancak belgeler, diske aktarılan kopyalanmayan arabelleklerde çalışan performans için CLFS optimizasyonundan bahsediyor.
Karmaşıklığına ve eski kod tabanına rağmen CLFS, güvenlik açıklarıyla karşı karşıyadır. 2018’den bu yana dört sıfır gün de dahil olmak üzere 30’dan fazla ayrıcalık yükseltme güvenlik açığı yamalandı.
BLF dosya formatını analiz etmek, her bloğun başında aşağıdakileri ortaya çıkarır: –
- Bloklarda saklanan kayıtlar
- Sektör boyutunda (0x200 bayt) okuma/yazma
- Bir CLFS_LOG_BLOCK_HEADER
BLF dosyalarındaki blok başlığı sektörleri, sağlama toplamını ve daha az önemli bilgileri içerir. Araştırmacılar için temel alanlar şunlardır: –
- RecordOffsets (kayıt ofsetleri dizisi)
- SignaturesOffset (orijinal baytların konumunu gösterir)
BLF dosyalarının altı bloğu vardır, ancak aşağıdaki gibi adlara sahip üç farklı türü vardır: –
Exploit’ler, önceden oluşturulmuş bir dosyaya ihtiyaç duymaktan kaçınarak standart BLF düzeninden yararlanır. CONTROL, GENERAL ve SCRATCH bloklarındaki kayıtlar aşağıdaki gibi belirli yapıları takip eder: –
- CLFS_CONTROL_RECORD
- CLFS_BASE_RECORD_HEADER
- CLFS_TRUNCATE_RECORD_HEADER
Hepsi ReadMetadataBlock işlevi tarafından kullanılan bir DumpCount alanına sahip olan CLFS_METADATA_RECORD_HEADER ile başlar.
CLFS_CONTROL_RECORD’un rgBlocks dizisi altı BLF dosya bloğuna ilişkin bilgiyi tutar. CLFS_METADATA_BLOCK, ayrıntılı blok boyutunu, ofseti ve çekirdek işaretçisi için bir yer tutucuyu yapılandırır, SecureList raporunu okuyun.
GENEL blok aşağıdaki gibi önemli BLF verilerini saklarken: –
- Müşteriler
- Konteynerler
- Güvenlik tanımlayıcıları
CLFS_BASE_RECORD_HEADER yapısı ofsetlere sahip büyük dizilere sahiptir. Semboller, verimli arama için CLFSHASHSYM ve CONTEXT yapılarını birleştirir. cbSymbolZone alanı yeni yapılar için bölgeyi belirler.
Sembol bölgesindeki yapılar benzersiz bir sihirli sayı ve boyutla başlar. CLFS_CLIENT_CONTEXT yapısı aşağıdaki gibi önemli alanları içerir: –
- llCreateTime
- llErişimZamanı
- llWriteTime
- fNitelikler
CLFS_CONTAINER_CONTEXT’in pContainer alanı, CClfsContainer sınıfına yönelik bir çekirdek işaretçisini saklar. Saldırganlar, uygun doğrulama olmaksızın bir BLF dosyasına kötü amaçlı bir CLFS_CONTAINER_CONTEXT enjekte ederse, kontrol akışını ele geçirebilir ve ayrıcalıkları yükseltebilirler.
CLFS, mantıklı bir dosya formatı yerine performansa öncelik verir ve disk uzaklıklarının değiştirilmesi yapıların çakışmasına neden olabilir.
Bu, kolay kullanım için çok sayıda güvenlik açığı oluşturulmasına yardımcı olur. Bu risklerden kaçınmak için makul bir dosya formatı gereklidir.