Bir araştırmacı, Windows bilgisayarlarını, daha önce tam yama uygulanmış olsalar bile, gizlice, kalıcı olarak ve geri döndürülemez şekilde savunmasız hale getirebilecek bir geri yükleme saldırısı geliştirdi.
Windows Update sürecini istismar eden bir düşürme saldırısı
SafeBreach araştırmacısı Alon Leviev’in araştırmasının yönü, bir güvenlik açığından yararlanarak UEFI Güvenli Önyüklemeyi aşabilen, Windows güvenlik mekanizmalarını (örneğin BitLocker, HVCI ve Windows Defender) devre dışı bırakabilen ve tehlikeye atılmış makinelerde varlığını sürdürebilen BlackLotus UEFI önyükleme setinden esinlenmiştir.
Windows Update sürecini ele geçirmenin yollarını bulmaya odaklandı; böylece saldırı Windows’un güvenlik mekanizmaları veya uç nokta güvenlik çözümleri tarafından tespit edilemedi.
Windows Update işlemi, özetlediği gibi, makinenin makinede bulunan bir güncelleme klasörüne bir güncelleme isteği “girmesiyle” başlatılır. Bütünlüğü Microsoft’un güncelleme sunucusu tarafından doğrulandıktan sonra, aynı klasör bir listeyle birlikte sunucu tarafından kontrol edilen bir klasöre kaydedilir – Bekleyen.xml – İşletim sistemi yeniden başlatıldığında gerçekleştirilecek güncelleme eylemlerinin (dosya oluşturma/silme/taşıma, kayıt defteri anahtarları ve değerleri oluşturma/silme vb.) belirlenmesi.
Farklı yaklaşımları denedikten sonra, kayıt defterinde eylem listesi yolunu ve bir anahtarı keşfetti – PoqexecKomutSatırı – listeyi ve liste yolunu ayrıştıran yürütülebilir dosyayı tutan.
“Daha sonra bu anahtarın güvenlik özelliklerine baktım ve Güvenilir Yükleyici tarafından uygulanmadığını fark ettim! Bu, tüm güncelleme eylemlerini kontrol etmemi sağlayacaktı,” diye açıkladı. “Düşürmek için, sabit bağlantı dosyası eylemini kullanabilirdim ve kaynak, hedefi değiştirirdi.”
Daha sonra sistemi özel, gerileme eylem listesiyle güncelledi. Saldırı güvenlik mekanizmaları tarafından tespit edilmedi, çünkü meşru bir şekilde gerçekleştirildi ve kimse makinenin tamamen güncellenmediğini bilemezdi, çünkü -teknik olarak- bir güncelleme gerçekleşti.
Ayrıca eylem listesi ayrıştırıcısını yamayabileceğini de buldu – poqexec.exe – boş güncellemeleri yüklemek için, böylece daha yeni güncellemeler yüklenmeyecekti. Son olarak, bütünlük ve onarım yardımcı programını yamayabileceğini keşfetti – SFC.exe – böylece artık hiçbir bozulma tespit edilemeyecek.
“Bu yeteneklerle donanmış olarak, dinamik bağlantı kitaplıkları (DLL’ler), sürücüler ve hatta NT çekirdeği dahil olmak üzere kritik işletim sistemi bileşenlerini düşürmeyi başardım. Daha sonra daha yükseğe nişan aldım ve tüm sanallaştırma yığınının da risk altında olduğunu gördüm. Geçmişteki ayrıcalık yükseltme güvenlik açıklarını açığa çıkarmak için Credential Guard’ın Yalıtılmış Kullanıcı Modu Sürecini, Güvenli Çekirdeği ve Hyper-V’nin hipervizörünü başarıyla düşürdüm,” diye özetledi.
Ayrıca, UEFI kilitlerini atlatarak Windows sanallaştırma tabanlı güvenliği (VBS), Kimlik Bilgisi Korumasını ve Hypervisor Korumalı Kod bütünlüğünü (HVCI) devre dışı bırakmanın yollarını da buluyor.
“Sonuç olarak, tamamen yamalı bir Windows makinesini binlerce geçmiş güvenlik açığına karşı savunmasız hale getirebildim, düzeltilen güvenlik açıklarını sıfır günlere dönüştürdüm ve dünyadaki herhangi bir Windows makinesinde ‘tamamen yamalı’ terimini anlamsız hale getirdim” diye sözlerini tamamladı.
İki sıfır gün, henüz yamalanmamış
Araştırmacı, Windows Update Stack ve Windows Secure Kernel’deki iki adet henüz yamalanmamış sıfırıncı gün ayrıcalık yükseltme güvenlik açığını (CVE-2024-38202, CVE-2024-21302) kullanarak, daha önce azaltılmış güvenlik açıklarını yeniden devreye soktu, bazı VBS özelliklerini atlattı ve VBS tarafından korunan verileri sızdırdı.
Bunu yapmasına olanak tanıyan Windows Downdate adlı bir araç da yarattı.
Leviev, keşiflerini Şubat 2024’te Microsoft ile paylaştı ve şirket, iki açığı azaltmak için bir güvenlik güncellemesi geliştiriyor. Bu arada, müşterilere izin denetimleri gerçekleştirerek ve bir Erişim Kontrol Listesi veya İsteğe Bağlı Erişim Kontrol Listeleri uygulayarak istismar riskini azaltmaları tavsiye ediliyor.
Şirket, “Microsoft bu güvenlik açığını istismar etmeye yönelik herhangi bir girişimden haberdar değil. Ancak bu güvenlik açığıyla ilgili olarak 7 Ağustos 2024’te Black Hat’te bir kamu sunumu düzenlendi. Sunum Microsoft ile uygun şekilde koordine edildi ancak tehdit ortamını değiştirebilir” dedi.
Ancak Leviev, araştırmasının diğer işletim sistemi geliştiricileri için bir uyarı niteliğinde olması gerektiğini söylüyor.
“Bir işletim sistemindeki tasarım özellikleri, özelliğin ne kadar eski olduğuna bakılmaksızın her zaman gözden geçirilmeli ve ilgili bir saldırı yüzeyi olarak değerlendirilmelidir” diye belirtti.
“Windows içindeki sanallaştırma yığınında gerçekleştirebildiğim düşürme saldırısı, daha az ayrıcalıklı sanal güven düzeylerinin/halkalarının daha ayrıcalıklı sanal güven düzeylerinde/halkalarında bulunan bileşenleri güncellemesine izin veren bir tasarım hatası nedeniyle mümkün oldu. Microsoft’un VBS özelliklerinin 2015’te duyurulması göz önüne alındığında bu çok şaşırtıcıydı, yani keşfettiğim düşürme saldırı yüzeyi neredeyse on yıldır mevcuttu.”