MSI Center 2.0.36.0 ve önceki sürümlerinde, düşük ayrıcalıklı kullanıcıların Windows sistemlerinde ayrıcalıklarını yükseltmelerine olanak tanıyan kritik bir yerel ayrıcalık yükseltme güvenlik açığı keşfedildi.
CVE-2024-37726 olarak izlenen bu güvenlik açığı, MSI Center uygulamasıyla çalışan güvenli olmayan dosya işlemlerinden kaynaklanmaktadır. NT YETKİSİ\SİSTEMİ ayrıcalıklar.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Bu güvenlik açığından aşağıdaki adımlar izlenerek yararlanılabilir:
- Düşük ayrıcalıklı bir kullanıcı bir dizin oluşturur ve içindeki bir dosyaya OpLock ayarlar.
- MSI Center’daki “Sistem Bilgilerini Dışa Aktar” işlevi, OpLocked dosyasında bir dosya yazma işlemini tetiklemek için kullanılır.
- OpLock yerindeyken, kullanıcı orijinal dosyayı taşır ve hedef dosyaya bir bağlantı oluşturur.
- Bu, MSI Center uygulamasının hedef dosyayı SYSTEM ayrıcalıklarıyla üzerine yazmasına veya silmesine olanak tanır.
Güvenlik araştırmacısı carsonchan12345, bu sürecin manipüle edilmesinin bir saldırganın kritik sistem dosyalarını üzerine yazmasına veya silmesine olanak tanıyabileceğini, bunun da sistemin tamamının tehlikeye girmesine yol açabileceğini söyledi.
Bu güvenlik açığının etkisi önemlidir:
- Saldırganlar sistemdeki yüksek ayrıcalıklı ve kritik dosyaları keyfi olarak üzerine yazabilir veya silebilir.
- Düşük ayrıcalıklı kullanıcıların erişebildiği konumlarda yönetici hakları olmadan program oluşturmak ve yüklemek mümkündür.
- Kötü amaçlı yükler, bir yönetici oturum açtığında tetiklenerek başlangıç konumlarına yerleştirilebilir.
MSI, 3 Temmuz 2024’te yayınlanan MSI Center 2.0.38.0 sürümünde bu güvenlik açığını giderdi. Kullanıcıların riski azaltmak için bu son sürüme güncellemeleri önemle tavsiye edilir.
Bu olay, uygun dosya sistemi erişim kontrollerinin önemini ve yüksek ayrıcalıklarla çalışan uygulamaların potansiyel tehlikelerini ortaya koyuyor.
Kuruluşlar ve bireysel kullanıcılar, etkilenen sistemleri güncellemeye öncelik vermeli ve benzer güvenlik açıklarını tespit edip gidermek için kapsamlı güvenlik denetimleri yapmalıdır.
MSI Center Sürümü Nasıl Doğrulanır
MSI Center sürümünüzün bu güvenlik açığından etkilenip etkilenmediğini doğrulamak için, yüklü MSI Center uygulamanızın sürüm numarasını kontrol etmelisiniz. Güvenlik açığı MSI Center 2.0.36.0 ve önceki sürümlerini etkiler. Sürümünüzü kontrol etmek için adımlar şunlardır:
- Windows sisteminizde MSI Center’ı açın.
- Uygulama içerisinde genellikle sürüm numarasını gösteren “Hakkında” veya “Bilgi” bölümünü arayın.
- Eğer uygulama arayüzünde sürüm numarasını bulamıyorsanız, Windows üzerinden kontrol edebilirsiniz:
- Dosya Gezgini’ni açın
- MSI Center kurulum klasörüne gidin (genellikle Program Dosyaları’nda)
- Ana MSI Center yürütülebilir dosyasına sağ tıklayın
- “Özellikler”i seçin
- “Ayrıntılar” sekmesine gidin
- “Ürün sürümü” alanını arayın
MSI Center sürümünüz 2.0.36.0 veya daha eskiyse, sisteminiz potansiyel olarak savunmasızdır. Güvenlik açığı, 3 Temmuz 2024’te yayınlanan 2.0.38.0 sürümünde giderilmiştir. Sisteminizin güvenliğini sağlamak için:
- Mümkünse MSI Center’ı en son sürüme (2.0.38.0 veya üzeri) güncelleyin.
- Bir güncelleştirme henüz mevcut değilse, bir güncelleştirme yayımlanana kadar MSI Center’ı geçici olarak kaldırmayı veya devre dışı bırakmayı düşünün.
- Güvenlik uyarıları ve güncellemeler için MSI’ın resmi web sitesini veya destek kanallarını takip edin.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files