Microsoft Sysinternals araçlarında kritik bir sıfır gün güvenlik açığı keşfedildi ve dünya çapında BT yöneticileri ve geliştiricileri için ciddi bir güvenlik tehdidi oluşturdu.
Güvenlik açığı, saldırganların kötü amaçlı kod yürütmek için DLL enjeksiyon tekniklerinden yararlanmasını ve sistemleri uzlaşma riski altına sokmasını sağlar.
90 gün önce Microsoft’a açıklanmasına rağmen, sorun çözülmedi ve kullanıcıları çevrelerini korumak için manuel hafifletmelerde güveniyor.
Microsoft Sysinternals, sistem analizi, sorun giderme ve kötü amaçlı yazılım araştırması için tasarlanmış yaygın olarak kullanılan bir araç paketidir.
Popüler yardımcı programlar gibi Process Gezgini– OtoriterVe Bginfosüreçleri, konfigürasyonları ve hizmetleri izlemek için sistem yöneticilerinin ayrılmaz bir parçasıdır.
Ancak, Windows Update Altyapısı aracılığıyla düzenli güncellemeler alan birçok Windows bileşeninden farklı olarak, Sysinternals araçları manuel güncellemeler gerektirir.
Bu entegrasyon eksikliği, bunun gibi güvenlik açıkları keşfedildiğinde önemli bir risk penceresi oluşturur.
Güvenlik Açığı Detayları
Siber Güvenlik Haber Raporuna göre, güvenlik açığı Sysinternals araçlarının Dinamik-Link Kütüphanesi (DLL) dosya yüklemesini nasıl ele aldığından kaynaklanmaktadır.
Bu araçlar, güvenli, sistem tarafından tasarlanmış dizinler üzerinden geçerli çalışma dizin (CWD) veya ağ yolları gibi güvenilmeyen yollara öncelik verir.
Bu, saldırganların meşru bir Sysinternals yürütülebilir ürünle aynı yerde kötü niyetli DLL’ler sahnelemelerini sağlar.
İstismar Nasıl Çalışır:
- Kötü niyetli bir DLL hazırlamak: Bir saldırgan, kötü amaçlı yüklerle gömülü bir DLL (örn. Cryptbase.dll veya textshaping.dll) oluşturur.
- Dosya Yerleştirme: DLL, meşru bir Sysinternals yürütülebilir dosyasının yanına yerleştirilir (örn. Bginfo.exe).
- Uygulamak: Hedeflenen uygulama yürütüldüğünde, güvenilir olan yerine kötü amaçlı DLL’yi yükler.
- Sonuç: Saldırganın kodu, kullanıcının sistem ayrıcalıklarıyla çalışır ve potansiyel olarak tam sistem uzlaşmasına yol açar.
Gerçek Dünya Uygulaması: Bginfo Trojan Dağıtım
En göze çarpan sömürü örneklerinden biri, masaüstü sistem bilgilerini görüntülemek için kurumsal ortamlarda kullanılan Bginfo aracını içerir.
Simüle edilmiş bir senaryoda, bir saldırgan ortak bir ağ dizinine kötü niyetli bir DLL yerleştirir. Sistem başlatma sırasında, bir komut dosyası doğrudan ağ yolundan Bginfo.exe’yi yürütür.
Araç, sırayla, meşru olan yerine kötü niyetli DLL’yi yükler ve Truva atları veya backroors gibi kötü amaçlı yazılımların birden çok sistemde çoğalmasını sağlar. Araştırmacı tarafından teknik bir yazı:
“Ağ yolu hazırlanan bir DLL içeriyorsa, her bir istemci başlangıç işlemi sırasında otomatik olarak tehlikeye atılabilir.”
Güvenlik açığı, 28 Ekim 2024’te endüstri en iyi uygulamaları doğrultusunda Microsoft’a sorumlu bir şekilde açıklandı.
Bununla birlikte, Microsoft sorunu “derinlemesine savunma” geliştirmesi olarak sınıflandırdı, yani güvenlik açığını kritik bir kusur değil, güvenli kullanım uygulamaları aracılığıyla ele alınması gereken bir sorun olarak görülüyor.
Microsoft’un duruşu, ağ konumları yerine yerel dizinlerden Sysinnals araçlarını çalıştırmayı vurgular.
Ancak araştırmacı, bu yaklaşımın araçların doğrudan paylaşılan dizinlerden yürütüldüğü gerçek dünya senaryolarına bakmaktadır. Şubat 2025 itibariyle, güvenlik açığı, kuruluşları önemli bir riske maruz bırakarak açılmamış durumda.
Sysinternals araçları BT yönetimi ve kötü amaçlı yazılım analizi için vazgeçilmezdir, ancak bu güvenlik açığı doğal risklerini vurgulamaktadır.
Sistemlerdeki kötü niyetli davranışları belirlemek için güvenilir olsa da, bu araçlar artık DLL enjeksiyon saldırılarının kendilerini mümkün kılmak için inceleme ile karşı karşıya. Microsoft sorunu ele alana kadar, kullanıcılar ortamlarını güvence altına almak için uyanık ve proaktif kalmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free