Uç Nokta için Microsoft Defender (DFE) ile bulut hizmetleri arasındaki ağ iletişiminde ortaya çıkarılan kritik kusurlar, ihlal sonrası saldırganların kimlik doğrulamayı atlamasına, verileri sahtekarlığa uğratmasına, hassas bilgileri ifşa etmesine ve hatta araştırma paketlerine kötü amaçlı dosyalar yüklemesine olanak tanıyor.
InfoGuard Labs tarafından yakın zamanda yapılan bir analizde ayrıntılı olarak açıklanan bu güvenlik açıkları, uç nokta tespit ve yanıt (EDR) sistemlerinde devam eden riskleri vurguluyor ve olaya müdahale çabalarını potansiyel olarak baltalıyor.
Temmuz 2025’te Microsoft’un Güvenlik Yanıt Merkezi’ne (MSRC) bildirilen sorunların ciddiyeti düşük kabul edildi ve Ekim 2025 itibarıyla herhangi bir düzeltme onaylanmadı.
Araştırma, aracının bulut arka uçlarıyla etkileşimine odaklanarak EDR saldırı yüzeylerine ilişkin önceki araştırmalara dayanıyor. Burp Suite gibi araçları kullanarak trafiğe müdahale eden ve WinDbg’deki bellek yamaları aracılığıyla sertifika sabitlemeyi atlayan analiz, DFE’nin MsSense.exe işleminin komutları ve veri yüklemelerini nasıl işlediğini ortaya çıkardı.
Yaygın bir güvenlik önlemi olan sertifika sabitleme, CRYPT32!CertVerifyCertificateChainPolicy işlevinin her zaman geçerli bir sonuç döndürecek şekilde değiştirilmesi ve HTTPS trafiğinin düz metin incelemesine olanak sağlanması yoluyla atlatıldı.
Azure Blob yüklemeleri de dahil olmak üzere tam müdahale için SenseIR.exe’ye benzer yamalar uygulandı.
Kimlik Doğrulama Atlamaları ve Komut Ele Geçirme
InfoGuard Labs’e göre asıl sorun, aracının https:// gibi uç noktalara yönelik isteklerinde yatmaktadır.[location-specific-host]/edr/commands/cnc, burada izolasyon, adli tıp toplama veya tarama gibi komutları yoklar.
Yetkilendirme belirteçleri ve Msadeviceticket başlıklarını içermesine rağmen arka uç bunları tamamen yok sayar. Düşük ayrıcalıklı kullanıcılar tarafından kayıt defteri okumaları yoluyla kolayca elde edilebilen makine kimliğine ve kiracı kimliğine sahip bir saldırgan, aracının kimliğine bürünebilir ve yanıtları engelleyebilir.
Örneğin, Burp’s Intruder gibi bir davetsiz misafir aracı, uç noktayı sürekli olarak sorgulayabilir ve mevcut komutları meşru aracı almadan önce yakalayabilir.
Bu, bir izolasyon komutu için “Zaten izole edilmiş” durumunu taklit etmek gibi sahte yanıtlara izin verir ve Microsoft Defender Portalı bunu güvenli olarak bildirirken cihazı izolasyonsuz bırakır.
Genellikle Microsoft Bond’da bulunan serileştirme formatı, manuel hazırlamayı karmaşık hale getirir, ancak meşru yanıtların yakalanması ve değiştirilmesi, kavram kanıtlama istismarları için yeterlidir.
Paralel bir güvenlik açığı, Canlı Yanıt ve Otomatik Araştırmalar için /senseir/v1/actions/ uç noktalarını etkiler. Burada CloudLR belirteçleri de benzer şekilde göz ardı edilir ve yalnızca makine kimliği kullanılarak kimlik doğrulaması yapılmadan elde edilebilir.
Saldırganlar, Bond’un seri durumdan çıkarılması için büyük dil modellerinden yararlanan özel komut dosyalarıyla eylem yüklerinin kodunu çözebilir ve aylarca geçerliliğini koruyan SAS belirteçleri aracılığıyla üretilmiş verileri sağlanan Azure Blob URI’lerine yükleyebilir.
Bilgi İfşası ve Kötü Amaçlı Dosya Riskleri
Kimliği doğrulanmamış erişim, kayıt uç noktası aracılığıyla olay yanıtı (IR) hariç tutmalarını da kapsar ve yalnızca kayıt defterindeki kuruluş kimliğini gerektirir.
Daha da endişe verici olanı, /edr/commands/cnc’nin kimlik bilgileri olmadan yoklanması, RegistryMonitoringConfiguration, DriverReadWriteAccessProcessList ve ASR kuralları dahil olmak üzere 8 MB’lık bir yapılandırma dökümü sağlar. Kiracıya özgü olmasa da bu veriler, kaçırma açısından değerli olan tespit mantığını ortaya koyuyor.
İhlal sonrasında saldırganlar, otomatik çalıştırmaları, yüklü programları ve ağ bağlantılarını içeren, herhangi bir kullanıcı tarafından okunabilen dosya sistemindeki araştırma paketlerini numaralandırabilir.
Devam eden araştırmalar için, bu paketlere yapılan sahte yüklemeler, kötü amaçlı dosyaların zararsız adlarla yerleştirilmesine olanak tanıyor ve inceleme sırasında analistleri kandırıp yürütmeye yönlendiriyor.
Bu kusurlar, birden fazla belirteç türüne rağmen basit gözetimlerin devam ettiği EDR iletişimlerinin güvenliğinin sağlanmasındaki zorlukların altını çiziyor. Analist, ihlal sonrası kesintilerin ve analist hedefli saldırıların MSRC’nin değerlendirmesinden daha yüksek önceliğe sahip olduğunu savunarak düzeltme çağrısında bulunuyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
