Neredeyse tüm Microsoft Sysinternals araçlarında kritik bir güvenlik açığı tespit edilmiştir, bu da sistem analizi ve sorun giderme için bu yardımcı programlara güvenen BT yöneticileri ve geliştiricileri için önemli bir risk sunmuştur.
Saldırganların kötü amaçlı kod yürütmek için DLL enjeksiyon tekniklerini nasıl kullanabileceğini özetleyen bu güvenlik açığı, ayrıntılı bir video sunumunda titizlikle araştırılmış, doğrulanmış ve gösterilmiştir.
90 gün önce Microsoft’a açıklanmasına rağmen, güvenlik açığı çözülmedi.
Microsoft tarafından geliştirilen Sysinternals araçları, Windows sistemlerinin süreçleri, hizmetleri ve konfigürasyonları hakkında derinlemesine bilgiler sağlamak için tasarlanmış yaygın olarak kullanılan bir program paketidir. Koleksiyondaki popüler araçlar Process Gezgini– OtoriterVe Bginfo.
Bu araçlar BT yönetimi ve kötü amaçlı yazılım analizi için vazgeçilmez olmakla birlikte, Windows Update sistemi ile entegrasyon eksikliği benzersiz bir zorluk oluşturmaktadır.
Güvenlik yamaları ve araçlar için güncellemeler yöneticiler tarafından manuel olarak yönetilmeli ve güvenlik açıkları ortaya çıktığında potansiyel risklere yer bırakmalıdır.
Güvenlik Açığı Ayrıntıları: DLL Enjeksiyon İstismarı
Keşfedilen güvenlik açığı, Sysinternals araçlarının DLL dosyalarını nasıl yüklediğinden kaynaklanmaktadır. Özellikle, bu uygulamaların çoğu DLL yüklerken güvenli sistem dizinleri üzerindeki mevcut çalışma dizin (CWD) veya ağ yolları gibi güvenilmeyen yollara öncelik verir.
Bu gözetim, saldırganların meşru DLL’lerin kötü niyetli olanlarla değiştirilmesine izin vererek keyfi kodun yürütülmesini sağlar.
Saldırının mekaniği nispeten basittir:
- Saldırgan, kötü niyetli bir DLL üretiyor, örneğin
cryptbase.dllveyaTextShaping.dllzararlı yükler yerleştirme. - Kötü niyetli DLL, meşru Sysinternals yürütülebilir ile aynı dizine yerleştirilir (örn.,
Bginfo.exe). - Kullanıcı uygulamayı bu dizinden yürüttüğünde, güvenilir sistem DLL yerine kötü amaçlı DLL yüklenir.
- Saldırganın kodu, kullanıcının ayrıcalıkları altında yürütülür ve potansiyel olarak tam sistem uzlaşmasına yol açar.
Gerçek Dünya Örneği: Bginfo üzerinden Truva Dağıtım
Güvenlik açığının pratik etkisi, kullanıcı masaüstlerinde sistem bilgilerini görüntülemek için işletme ortamlarında sık sık konuşlandırılan bir yardımcı program olan Bginfo Aracı kullanılarak gösterilmiştir.
Simüle edilmiş bir saldırı senaryosunda, bir saldırgan kötü niyetli bir DLL dosyasını meşru ile aynı ağ dizine yerleştirir Bginfo.exe.
Sistem önyükleme sırasında, bir başlangıç komut dosyası Bginfo doğrudan bu paylaşılan ağ konumundan araç.
Sonuç olarak, araç yanlışlıkla güvenilir olan yerine kötü amaçlı DLL’yi yükler ve birden fazla müşteri sisteminde bir Truva veya diğer kötü amaçlı yazılımların otomatik olarak dağıtımını sağlar.
“Ancak, ağ yolu hazırlanmış bir DLL ile sağlanırsa, her bir istemci başlangıç işlemi sırasında otomatik olarak tehlikeye atılabilir. Bu durumda, Bginfo aracı ağ sürücüsünden yüklenir ve Meterpreter yüklenir ve DLL araştırmasından başlatılır ” belirtilmiş teknik yazısında.
Bu örnek, özellikle ağ tabanlı yollardan Sysinternals araçlarının yürütülmesine dayanan ortamlarda, bu güvenlik açığının ortaya koyduğu ciddi riskin altını çizmektedir.
Güvenlik açığı, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çok çeşitli Sysinternals uygulamalarını etkiler:
- Process Gezgini (
procexp.exe–procexp64.exe) - Otoriter (
autoruns.exe–autoruns64.exe) - Bginfo (
bginfo.exe–bginfo64.exe)
Araştırmacı tarafından sağlanan ilişkili bir test sayfasında kapsamlı bir savunmasız araçlar listesi mevcuttur.
Microsoft ile iletişim ve çözülmemiş durum
Güvenlik açığı, standart endüstri uygulamalarını takiben 28 Ekim 2024’te Microsoft’a sorumlu bir şekilde açıklandı. Ancak Microsoft, konuyu kritik bir güvenlik açığı yerine “derinlemesine savunma” geliştirme olarak sınıflandırdı.
Bu sınıflandırma, sorunun temel bir güvenlik kusuru olarak değil, uygulamanın güvenli kullanım en iyi uygulamaları içinde ele alındığını ima eder.
Microsoft’un görünümü, yerel program dizinlerinden yürütülen yürütülebilir dosyalara odaklanırken, araştırmacı ağ konumunun uygulama için CWD olarak hareket ettiği ağ sürücülerini kullanmanın tehlikelerini vurgulamaktadır.
Araştırmacı, Microsoft’un DLL güvenlik açıklarını ele almak için kendi yönergelerine dayanarak tutarsızlıklarına dikkat çekti.
Aralık 2024’ten itibaren en son Sysinternals blog güncellemesi itibariyle, güvenlik açığı açılmamış kalır ve kullanıcıları riskleri azaltmak için geçici çözümlere güvenir.
Microsoft bu güvenlik açığını ele geçirene kadar, yöneticiler ve kullanıcılar bu saldırılara maruz kalmayı azaltmak için birkaç ihtiyati adım atabilirler:
- Ağ konumlarından araç çalıştırmaktan kaçının: Yürütmeden önce her zaman Sysinternals yürütülebilir ürünleri yerel yollara kopyalayın.
- DLL bütünlüğünü doğrulayın: Yalnızca güvenilir DLL’leri yüklemek için güvenlik çözümleri kullanın.
- Ortamınızı denetleyin: DLL enjeksiyonuna karşı savunmasız araçları tanımlamak ve gerekli korumaları almak için sağlanan test sayfasını kullanın.
Sysinternals araçları, kötü amaçlı yazılım analizi için yaygın olarak kullanılır. Gibi araçlar Process Gezgini Uygulamalar tarafından yüklenen potansiyel olarak kötü niyetli DLL’lerin belirlenmesine yardımcı olun. Bununla birlikte, ironi, Sysinternals araçlarının DLL enjeksiyonuna karşı savunmasız olduğu ve genel güvenlikleri ve sağlamlıkları hakkında sorular ortaya koymasıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free