Varonis tehdit laboratuvarlarındaki güvenlik araştırmacıları, Microsoft’un Applocker güvenlik özelliğinde kötü amaçlı uygulamaların yerleşik güvenlik kısıtlamalarını atlamasına izin verebilecek ince ama önemli bir güvenlik açığı belirlediler.
Kritik bir güvenlik açığı olarak sınıflandırılmasa da, keşif kuruluşların ele alması gereken kurumsal güvenlik yapılandırmalarındaki önemli boşlukları vurgulamaktadır.
Applocker, esasen Windows sistemlerinde hangi uygulamaların ve dosyaların yürütülebileceğini belirleyen bir dijital bekçi olarak işlev gören Microsoft’un kurumsal sınıf uygulama kontrol çözümü olarak hizmet vermektedir.
Kuruluşlar, kötü amaçlı yazılım enfeksiyonlarını önlemek, düzenleyici uyumluluğu korumak ve ağlarında yazılım kurulumlarını kontrol etmek için bu güvenlik özelliğine güvenmektedir.
Sistem, belirli yürütülebilir ürünlere, komut dosyalarına ve dinamik bağlantı kitaplıklarına (DLL’ler) çalışmasına izin veren veya engelleyen önceden tanımlanmış kuralları uygulayarak çalışır.
Microsoft, Applocker kısıtlamalarını potansiyel olarak atlayabilen ve bu listeyi yeni keşfedilen güvenlik açıklarıyla düzenli olarak güncelleyebilecek kapsamlı bir kaynak belgelendirir.
Bu şeffaflık, güvenlik yöneticilerinin olası saldırı vektörlerini anlamalarına ve uygun karşı önlemleri yapılandırmasına yardımcı olur.
Sürüm numarası tutarsızlık
Güvenlik açığı, Microsoft’un önerdiği Applocker yapılandırmasında görünüşte küçük ama sonuçta ortaya çıkan bir hatadan kaynaklanıyor.
Varonis araştırmacıları, maksimum fileVersion alanının beklenen maksimum 65535 değeri yerine yanlış bir şekilde 65355’e ayarlandığını keşfetti.
Bu küçük görünen sayısal tutarsızlık, saldırganların potansiyel olarak sömürebileceği önemli bir güvenlik açığı yaratıyor.
Bu değerler arasındaki fark çok önemlidir, çünkü 65535 imzasız bir 16 bit tamsayı için maksimum değeri temsil eder, 65355 ise bu sınırın altına düşer.
Bu, Applocker’ın kısıtlamalarından algılanamayan 653555555.65355.65355 ve 65535.65535.65535.65535 arasında bir dizi dosya sürümü oluşturur.
Saldırganlar, yapılandırılmış maksimum sürümü aşacak şekilde engellenen bir yürütülebilir dosyanın sürüm numarasını değiştirerek teorik olarak bu güvenlik açığını kullanabilir ve potansiyel olarak kötü amaçlı yazılımların Applocker kısıtlamalarına rağmen yürütülmesine izin verir.
Bununla birlikte, bu kırılganlığın pratik etkisi standart güvenlik uygulamaları ile önemli ölçüde sınırlıdır.
Bir saldırgan bir dosyanın sürüm bilgilerini değiştirdiğinde, bu eylem aynı anda dosyanın dijital imzasını bozar.
Sonuç olarak, “yalnızca imzalı yürütülebilir ürünler” politikaları ile yapılandırılan sistemler, bu tür değiştirilmiş dosyaları engelleyerek potansiyel tehdidi etkili bir şekilde etkisiz hale getirecektir.
Bu sınırlama, güvenlik açığının kritik olarak sınıflandırılmasını önler, ancak önemli bir yapılandırma sorunu olmaya devam etmektedir.
Varonis’in bu keşfin sorumlu açıklanmasının ardından Microsoft, temel belge hatasını ele almak için düzeltici önlemler aldı.
Şirket, resmi belgelerini doğru maksimum dosya sürüm değerlerini yansıtacak şekilde güncelledi ve gelecekteki yanlış yapılandırmaları önlemeye yardımcı oldu.
Bu olay, güvenlik konfigürasyonlarındaki görünüşte küçük ayrıntıların bile beklenmedik güvenlik açıkları yaratabileceğini hatırlatıyor.
Kuruluşlar, mevcut en iyi uygulamalarla uyumu sağlamak ve sofistike saldırganlar tarafından kullanılabilecek olası güvenlik boşluklarını kapatmak için Applocker politikalarını düzenli olarak gözden geçirmeli ve güncellemelidir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now