Microsoft’un CEO’su Satya Nadella, bilgisayarınızın masaüstü geçmişini saklayan ve bunu analiz için yapay zekanın kullanımına sunan şirketin yeni Geri Çağırma özelliğini PC’niz için “fotoğraf belleği” olarak övdü. Bu arada siber güvenlik topluluğu içinde, her beş saniyede bir sessizce masaüstünüzün ekran görüntüsünü alan bir araç fikri, bir bilgisayar korsanının rüyasının gerçekleşmesi ve son zamanlardaki en kötü ürün fikri olarak selamlandı.
Artık güvenlik araştırmacıları, bu özelliği istismardan korumayı amaçlayan geriye kalan tek güvenlik önleminin bile önemsiz bir şekilde mağlup edilebileceğine dikkat çekti.
Recall’ın geçen ay ilk kez duyurulmasından bu yana siber güvenlik dünyası, eğer bir bilgisayar korsanı, bu özelliğin etkin olduğu bir hedef makinede yer edinmek için kötü amaçlı yazılım yüklerse, kullanıcının bu işlev tarafından saklanan tüm geçmişine hızlı bir şekilde erişebileceğini belirtti. Görünüşe göre, bir kurbanın klavyedeki tüm yaşamının yüksek çözünürlüklü görüntüsünün önündeki tek engel, Recall’ın verilerine erişmenin, kullanıcının makinesinde yönetici ayrıcalıkları gerektirmesiydi. Bu, daha yüksek düzeyde ayrıcalığa sahip olmayan kötü amaçlı yazılımların bir izin açılır penceresini tetikleyerek kullanıcıların erişimi engellemesine olanak tanıyacağı ve kötü amaçlı yazılımın çoğu kurumsal makinedeki verilere erişiminin varsayılan olarak muhtemelen engelleneceği anlamına geliyordu.
Daha sonra Çarşamba günü, Google’ın Project Zero güvenlik açığı araştırma ekibinden araştırmacı James Forshaw, bir blog gönderisinde Recall verilerine erişmeye yönelik yöntemler bulduğunu belirten bir güncelleme yayınladı. olmadan yönetici ayrıcalıkları – esasen korumanın son yaprağını bile ortadan kaldırıyor. Gönderi “Yöneticiye gerek yok ;-)” ile sonuçlandı.
Forshaw, Mastodon’a “Lanet olsun,” diye ekledi. “Gerçekten Recall veritabanı güvenliğinin en azından güvenli olacağını düşündüm.”
Forshaw’un blog yazısında, yönetici ayrıcalık gereksinimini aşmak için iki farklı teknik anlatılıyor; bunların her ikisi de, bilgisayardaki hangi öğelerin hangi ayrıcalıkların okunması ve değiştirilmesi gerektiğini belirleyen, erişim kontrol listeleri olarak bilinen Windows’taki temel güvenlik işlevini aşmanın yollarından yararlanıyor. Forshaw’un yöntemlerinden biri, bu kontrol listelerindeki bir istisnadan yararlanarak, Windows makinelerinde bulunan ve kısıtlı veritabanlarına bile erişebilen AIXHost.exe adlı bir programın geçici olarak kimliğine bürünüyor. Bir diğeri daha da basit: Forshaw, bir makinede depolanan Geri Çağırma verilerinin kullanıcıya ait olduğu kabul edildiğinden, kullanıcıyla aynı ayrıcalıklara sahip bir bilgisayar korsanının, hedef makinedeki erişim kontrol listelerini yeniden yazarak kendilerine erişim izni verebileceğine dikkat çekiyor. tam veritabanı.
Siber güvenlik stratejisti ve etik hacker olan Alex Hagenah, bu ikinci, daha basit bypass tekniğinin “dürüst olmak gerekirse, sadece akıllara durgunluk verici” olduğunu söylüyor. Hagenah kısa süre önce TotalRecall adında bir kavram kanıtı hacker aracı geliştirdi. Bu araç, Recall ile kurbanın makinesine erişim sağlayan birinin bu özellik tarafından kaydedilen tüm kullanıcı geçmişini anında silip atabileceğini göstermek için tasarlandı. Ancak Hagenah’ın aracı yine de, aracının işe yaraması için bilgisayar korsanlarının sözde “ayrıcalık yükseltme” tekniği yoluyla yönetici ayrıcalıkları kazanmanın başka bir yolunu bulmasını gerektiriyordu.
Hagenah, Forshaw’un tekniğiyle “herhangi bir ayrıcalık artışına, açılır pencereye veya hiçbir şeye ihtiyacınız yok” diyor. “Bunu kötü bir adam için araçta uygulamak mantıklı olacaktır.”