iTunes, Apple Inc. tarafından geliştirilen bir medya oynatıcısıdır ve bu uygulama, kullanıcıların dijital müzik ve videoları satın almasına, düzenlemesine ve oynatmasına olanak tanır.
2001 yılında piyasaya sürüldü ve içerik satın almak ve iPod’lar ve sonraki cihazlarla senkronizasyon yapmak için kullanılan “iTunes Store” gibi özelliklerle insanların medya koleksiyonlarına erişme ve bunları yönetme biçiminde devrim yarattı.
Yakın zamanda bir siber güvenlik araştırmacısı mhans (diğer adıyla “mbog14”), tehdit aktörlerinin Windows’u hacklemesine olanak tanıyan iTunes 0-day (“CVE-2024-44193” olarak izlenen) ayrıcalık yükseltme kusurunu tespit etti.
iTunes 0 Günlük Ayrıcalık Yükseltmesi
CVE-2024-44193, iTunes’un “12.13.2.3” sürümünde keşfedilen kritik bir Yerel Ayrıcalık Artışı (LPE) güvenlik açığını temsil ediyor.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Bu 0 günlük kusur, “C:\Program Files\Common Files\Apple\Mobile” Cihaz Desteği konumunda bulunan ‘Apple Device Discovery Service’i (AppleMobileDeviceService.exe) etkiler.
Apple, “C: ProgramDataApple*” dizin yolundaki “uygunsuz izin yönetiminden” kaynaklanan güvenlik açığını 12 Eylül 2024’te yamaladı.
Bu yamada yerel Windows “Kullanıcılar” grubunun üyeleri isteğe bağlı dosyalar yazabilir.
Bu istismar, ayrıcalık yükseltmeyi sağlamak için fırsatçı kilitlerin (“oplocks”) ve “NTFS bağlantı noktalarının” bir kombinasyonundan yararlanıyor.
Ayrıcalığı olmayan bir kullanıcı hizmetin yeniden başlatılmasını tetiklediğinde, hizmetin SİSTEM ayrıcalıklarıyla çalıştığı ve “C:\ProgramData\Apple\Lockdown*” içindeki dosyaları sildiği güvenlik açığı bulunan dosya silme mekanizmasından yararlanabilir.
Tehdit aktörleri, öncelikle süreç manipülasyonu için “SetOpLock” ve NTFS kavşağından yararlanma için “FolderContentsDeleteToFolderDelete” gibi araçları kullanarak karmaşık bir “klasör/dosya” silme işlemi oluşturabilir.
Bu süreç, hizmetin yürütülmesini duraklatmak için bir “oplock” ayarlayarak bir klasör yapısı oluşturmayı içerir; bu, dosyaları taşımalarına ve hedef konumlara NTFS bağlantıları oluşturmalarına yardımcı olur.
Bunun yardımıyla, standart bir kullanıcıdan etkin bir şekilde “tam sistem yöneticisi erişimine” yükselen “SİSTEM düzeyinde ayrıcalıklarla” keyfi kod yürütmeyi başarıyorlar.
Windows işletim sistemindeki NTFS bağlantıları, klasörlerin farklı konumlara yönlendirilmesine olanak tanıyan dizin bağlantıları (Linux’taki “sembolik bağlantılar” veya “sembolik bağlantılar”a benzer) görevi görür.
Bu işlevsellikten Apple Mobil Cihaz Desteği hizmeti aracılığıyla yararlanılabilir.
Saldırgan, PowerShell komutlarını (“Yeni Öğe – Tür Bağlantısı”) veya ZDI’nin “FilesystemEoPs” araç setini (‘FolderContentsDeleteToFolderDelete.exe’) kullanarak Masaüstündeki bir hedef klasöre işaret eden bir bağlantı oluşturabilir.
.webp)
Hizmet, Windows GUI (‘Uygulamalar -> Yüklü uygulamalar -> Apple Mobil Cihaz Desteği -> Değiştir -> Onar’) aracılığıyla yeniden başlatıldığında, SİSTEM olarak çalışan “DeleteOnClose” ayrıcalıklarıyla bir “CreateFile” işlemini yürütür.
Araştırmacıya göre bu yüksek ayrıcalıklı yürütme, bağlantıyı takip ediyor ve sistem genelinde rastgele dosya veya klasör silinmesine olanak tanıyor.
Kullanım süreci birkaç teknik adımı içerir: –
- Süreci duraklatmak için oplock’ları (“fırsatçı kilitler”) ayarlamak.
- “FolderOrFileDeleteToSystem.exe”yi kullanarak bir MSI geri alma tekniği uygulamak.
- Dosya yolu uzunluklarını dikkatlice yönetmek (“güvenilir yürütme için “C:\d” ve “e.txt” gibi kısaltılmış sabitler gerektirir”).
Bağlantı noktalarını takip eden hizmet tekrarı, SİSTEM düzeyindeki izinlerle birleşerek önemli bir güvenlik açığı oluşturur.
Bu, ayrıcalıklı olmayan kullanıcıların “sistem dosyalarını silmelerine” ve tam olarak yönlendirilmiş olaylar zinciri aracılığıyla “sistem düzeyinde kod yürütme” gerçekleştirmelerine olanak tanır.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar