Bir güvenlik araştırmacısı, Lenovo bilgisayarları etkileyen önemli bir güvenlik açığını ortaya çıkardı: Windows dizininde Applocker kısıtlamalarını atlamak için kullanılabilecek yazılabilir bir dosya.
Söz konusu dosya, C: \ Windows \ mfgstat.zip, üreticinin varsayılan Windows görüntüsüyle gönderilen birçok Lenovo makinesinde bulunur.
Başlangıçta sadece bir avuç cihazı etkilediği düşünülen bu sorun, çok çeşitli Lenovo modellerinde doğrulanmıştır.
Teknik Sorun
Güvenlik açığı, mfgstat.zip’in dosya izinlerine odaklanır. Erişim kontrolü kontrol araçlarını kullanarak, sistemdeki kimlik doğrulamalı kullanıcıların bu dosyaya yazabileceği keşfedildi.
Windows Explorer’daki dosyanın erişim kontrol listelerinin (ACL’ler) gözden geçirilmesi, standart kullanıcıların hem yazma hem de yürüttüğünü doğruladı.
Bu sorunludur, çünkü Varsayılan Applocker kuralları altında, C: \ Windows dizinindeki herhangi bir yürütülebilir dosyanın çalışmasına izin verilir. Sonuç olarak, yazılabilir mfgstat.zip dosyası, saldırganların Appleocker’ın uygulama beyaz listesinden kaçması için potansiyel bir vektör haline gelir.
Sömürü yöntemi
Bu güvenlik açığından yararlanmak için, bir saldırganın ZIP dosyasının doğrudan üzerine yazması gerekmez. Bunun yerine, Windows’un Alternatif Veri Akışları (ADS) özelliğinden yararlanabilirler.
Mfgstat.zip’e alternatif bir veri akışı olarak kötü niyetli bir ikili ekleyerek, bir saldırgan keyfi kod yürütebilir. Örneğin, aşağıdaki komut, reklamlara bir yürütülebilir ürün ekler:
type c:\temp\autoruns.exe > c:\windows\mfgstat.zip:thisSaldırgan daha sonra yükü Microsoft Office’ten appvlp.exe gibi meşru bir Windows yardımcı programı kullanarak yürütebilir:
"C:\Program Files (x86)\Microsoft Office\root\Client\appvlp.exe" c:\Windows\mfgstat.zip:thisBu teknik, saldırganın yetkisiz kod çalıştırmasını ve Applocker’ın kısıtlamalarını etkili bir şekilde atlamasını sağlar.
Bildirildikten sonra, Lenovo’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) konuyu kabul etti, ancak bir yama yayınlamamayı seçti.
Bunun yerine Lenovo, savunmasız dosyanın kaldırılmasını öneren rehberlik yayınladı. Şirket silme için çeşitli yöntemler sağladı:
- Powershell:
Kaldır -“C: \ Windows \ mfgstat.zip” -Force - Komut istemi:
del /a:hc:hc:hcs\mfgstat.zip - Windows Dosya Gezgini:
C: \ Windows’a gidin, gizli öğeleri gösterin, mfgstat.zip’i sağ tıklayın ve “Sil” i seçin.
Lenovo, dosya önceden yüklenmiş Lenovo işletim sistemine özgü olduğundan, kendi Windows görüntülerini dağıtan kuruluşların etkilenmediğini belirtti.
Bu keşif, özellikle sistem dizinlerinde varsayılan dosya izinlerini incelemenin önemini vurgulamaktadır.
Lenovo’nun rehberliği riski azaltırken, olay sistem yapılandırmasında küçük gözetimlerin bile önemli güvenlik sonuçlarına sahip olabileceğini hatırlatıyor.
Lenovo, araştırmacıya sorunu sorumlu bir şekilde ifşa ettiği için kredilendirdi ve etkilenen sistemlerin tüm kullanıcılarını dosyayı derhal kaldırmaya teşvik etti.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt