3. taraf risk yönetimi, yönetişim ve risk yönetimi, yeni nesil teknolojiler ve güvenli gelişim
Systrack Lsiagent yükleyici kusuru yerel olarak ayrıcalıkları artırır
Akhabokan Akan (Athokan_akhsha) •
7 Şubat 2025
Lakeside Software tarafından geliştirilen kusurlu bir Microsoft Software yükleyici uygulaması, daha düşük ayrıcalıklara sahip saldırganların tam sistem erişimi kazanmasını sağlayabilir. Google Mantiant tarafından ortaya çıkan yerel ayrıcalık yükseltme kırılganlığı o zamandan beri yamalandı.
Ayrıca bakınız: Güvenli Erişim Yeniden Tanımlandı: VPN Vs. Ztna
CVE-2023-6080, Lakeside Software’in Windows için Systrack Lsiagent yükleyici sürümünü etkileyen yüksek şiddetli bir güvenlik açığı olarak kabul edilir. Güvenlik açığının CVE sıralaması 7.8 veya oldukça şiddetlidir. Güvenlik açığı sömürüldüğünde, saldırganlara sistem düzeyinde erişim sağlar.
Kusur, kullanıcıların yüklü yazılımı etkileyebilecek sorunları çözmek için sistemlere erişmesine izin vermek için genellikle yazılım uygulamalarında kullanılan onarım işlevi olarak adlandırılan Systrack Lsigent yükleyici içinde bir özellikten kaynaklanır.
Bir MSI dosyası yürütülürken, onarım işlevi, Hackerlar tarafından ayrıcalık artışı için kötüye kullanılabilecek en yüksek ayrıcalıklara sahip yerleşik bir Windows hesabı olan NT AuthoritySystem’den birden fazla dosyanın oluşturulmasına veya yürütülmesine izin verir.
CVE-2023-6080’den yararlanmak için Mandiant, Systrack MSI’nın onarım işlemleri sırasında yürütülen dosya işlemlerini analiz etmek ve gözden geçirmek için Process Monitor adlı gerçek zamanlı bir dosya izleme sistemleri kullandı.
Mantiant, “Onarım sürecini düşük ayrıcalıklı bir kullanıcı olarak çalıştırırken, Mantiant, MSIExec.exe’den kullanıcının % Temp % klasörü içinde dosya oluşturma ve yürütme gözlemledi.” Dedi.
% Temp % düşük ayrıcalıklı bir kullanıcı tarafından yazılabilir olduğundan, araştırmacılar, oluşturulan dosya adlarında yürütülebilir ürünleri test etmek için bir PowerShell komut dosyası oluşturdu. Sonraki davranışını gözlemlemek için MSI onarım fonksiyonunun tekrarlanması üzerine, uygulama başka bir dosya adlandırma modeline yük devreye girecektir.
Ayrıca, eylem ayrıca bilgisayar korsanlarının aynı verileri değiştirmeye çalışan eşzamanlı istekler göndererek bir sistemi ezmesine izin verebilecek bir yarış koşulu güvenlik açığı yarattı.
Maniant araştırmacıları daha sonra msiexec.exe tarafından oluşturulan dosyanın üzerine yazmak için bir dosyayı % Temp % klasörüne kopyalayarak yarış koşulu güvenlik açığından yararlanmak için tasarlanmış başka bir PowerShell betiği yazdı.
Araştırmacılar, “Yarış koşulu komut dosyası çalışırken, onarım eyleminin yürütülmesi Test.exe dosyasının amaçlanan ikili üzerine yazılması ve daha sonra yürütülmesi ve NT AuthoritySystem’in açılması ile sonuçlandı.” Dedi.
Ayrıcalık artışına ek olarak, bilgisayar korsanları, NT AuthoritySystem içindeki dosyaları değiştirmek için istismar kullanabilir ve keyfi kod yürütme, Google Mand.
MSI paketlerindeki yanlış yapılandırılmış özel eylemler, daha düşük görünürlük nedeniyle önemli güvenlik riskleri oluşturabildiğinden, maniant araştırmacılar, yazılım geliştiricilerinin saldırganların yüksek önündeki operasyonları ele geçirmesini önlemek için güvenli kodlama uygulamalarını takip etmesi gerektiğini söyledi.
MSI, % Temp % klasöründe dosya oluşturma ve yürütme gibi işlemler gerçekleştirdiğinden, geliştiriciler ayrıca tüm ayrıcalıklı dosya işlemlerinin yeterince güvenli klasörlerden yürütülmesini sağlamalıdır.
Mantian araştırmacıları, “Bu, klasör için okuma/yazma izinlerini değiştirmeyi veya düşük ayrıcalıklı kullanıcılardan doğal olarak korunan yerleşik klasörleri kullanmayı içerebilir.”
Lakeside Software, Google tarafından uyarıldıktan sonra Ağustos 2024’te kusuru düzenledi.
Daha önce, Mantiant Atera Agent 1.8.3.6 için MSI yükleyicisinde benzer bir kusur ortaya çıkardı.