Araştırmacılar, Mayıs 2023 Salı Yaması’nın bir parçası olarak düzeltilen, aktif olarak kullanılan bir Windows yerel ayrıcalık yükseltme güvenlik açığı için bir kavram kanıtı (PoC) istismarı yayınladı.
Win32k alt sistemi (Win32k.sys çekirdek sürücüsü), işletim sisteminin pencere yöneticisini, ekran çıktısını, girişi ve grafikleri yönetir ve çeşitli giriş donanımı türleri arasında bir arabirim görevi görür.
Bu nedenle, bu tür güvenlik açıklarından yararlanmak, yükseltilmiş ayrıcalıklar veya kod yürütme sağlama eğilimindedir.
Güvenlik açığı CVE-2023-29336 olarak izlenir ve ilk olarak siber güvenlik firması Avast tarafından keşfedilmiştir. Düşük ayrıcalıklı kullanıcıların Windows’taki en yüksek kullanıcı modu ayrıcalıkları olan Windows SYSTEM ayrıcalıklarını kazanmalarına izin verdiği için CVSS v3.1 önem derecesi 7.8 olarak atanmıştır.
Avast, saldırılarda sıfır gün olarak aktif olarak istismar edildikten sonra güvenlik açığını keşfettiklerini söylüyor. Ancak şirket, BleepingComputer ile daha fazla ayrıntı paylaşmayı reddetti, bu nedenle nasıl kötüye kullanıldığı belli değil.
Aktif olarak yararlanılan kusur ve Windows güvenlik güncellemelerini uygulama ihtiyacı hakkında farkındalığı artırmak için CISA ayrıca bir uyarı yayınladı ve bunu “Bilinen Yararlı Güvenlik Açıkları” kataloğuna ekledi.
Yama kullanıma sunulduktan tam olarak bir ay sonra, Web3 siber güvenlik firması Numen’deki güvenlik analistleri, CVE-2023-29336 kusuru ve Windows Server 2016 için bir PoC istismarı hakkında tüm teknik ayrıntıları yayınladı.
Hatayı yeniden keşfetmek
Güvenlik açığından aktif olarak yararlanılsa da Microsoft, bunun yalnızca eski Windows 10 sürümleri, Windows Server ve Windows 8 dahil olmak üzere eski Windows sürümlerini etkilediğini ve Windows 11’i etkilemediğini söylüyor.
Numen raporunda “Bu güvenlik açığı Win11 sistem sürümünde yararlanılamaz gibi görünse de, önceki sistemler için önemli bir risk oluşturuyor” diye açıklıyor.
“Bu tür güvenlik açıklarından yararlanmanın kötü bir geçmişi var ve bu derinlemesine analizde, gelişmekte olan hafifletme önlemlerini dikkate alarak tehdit aktörlerinin bu özel güvenlik açığından yararlanmak için kullandıkları yöntemleri araştırıyoruz.”
Numen araştırmacıları, Windows Server 2016’daki güvenlik açığını analiz ederek, Win32k’nin yalnızca pencere nesnesini kilitlediğini ancak iç içe geçmiş menü nesnesini kilitlemediğini tespit etti.
Araştırmacıların, eski kodun daha yeni Win32k sürümlerine kopyalanmasından kaynaklandığını söylediği bu ihmal, saldırganlar sistem belleğindeki belirli adresi değiştirirse menü nesnelerini kurcalamaya veya kaçırmalara karşı savunmasız bırakır.
Menü nesnesinin kontrolünü ele geçirmek, onu başlatan programla aynı düzeyde erişim elde etmek anlamına gelir, ancak ilk adım saldırganlara yönetici düzeyinde ayrıcalıklar sağlamasa bile, sonraki adımlarla bunu başarmaya yardımcı olmak için etkili bir sıçrama tahtasıdır.
Araştırmacılar, çeşitli bellek düzeni manipülasyon yöntemleri, istismar tetikleyicileri ve bellek okuma/yazma sistemi işlevleriyle deneyler yaptılar ve sonunda SİSTEM ayrıcalıklarına güvenilir bir yükseltme sağlayacak çalışan bir PoC geliştirdiler.
Bu süreçle ilgili daha fazla teknik ayrıntı Numen raporunda mevcuttur ve PoC’nin bir gösterimi aşağıda gösterilmektedir.
Genel sonuç, CVE-2023-29336’nın kullanımının özellikle zorlayıcı olmadığıdır.
Raporda, “Boşaltılmış bellekten yeniden kullanılan verileri kullanarak ilk yazma işlemi üzerinde kontrol elde etmek için farklı yöntemleri özenle keşfetmenin yanı sıra, tipik olarak yeni istismar tekniklerine ihtiyaç yoktur” diyor.
“Bu tür bir güvenlik açığı, büyük ölçüde sızan masaüstü yığın tanıtıcısı adreslerine dayanır. […]ve bu sorun tam olarak ele alınmazsa, eski sistemler için bir güvenlik riski olmaya devam eder.”
Numen, sistem yöneticilerinin, yerel ayrıcalık yükseltme için CVE-2023-29336’nın aktif olarak kullanıldığını gösterebilecek, bellekte veya pencere nesneleriyle ilgili anormal ofset okuma ve yazmaları için tetikte olması gerektiğini öneriyor.
Tüm Windows kullanıcılarının, belirli kusur dışında bilgisayar korsanlarının aktif olarak yararlandığı iki sıfır gün güvenlik açığını daha düzelten Mayıs 2023 yamasını uygulamaları önerilir.