Hacker House’daki güvenlik araştırmacıları, Windows yükleyicileri ve güncelleyicilerinde yarış koşullarını ve güvensiz dosya işlemesini kullanan bir kavram kanıtı aracı olan SetupHiJack’i yayınladı.
Yardımcı program, saldırganların sistem veya yönetici haklarıyla kötü niyetli yükler çalıştırmak için ayrıcalıklı kurulum süreçlerini nasıl ele geçirebileceğini göstermektedir.
Windows yükleyicilerindeki yarış koşullarından yararlanmak
SetUpHiJack, dosyaları %Temp %, %AppData %veya kullanıcının indirme klasörü gibi dünya tarafından satın alınabilir konumlara bırakan yükleyicileri ve güncelleyicileri hedefler.
Birçok yükleyici, bu dizinlere geçici yürütülebilir ürünler, MSI paketleri veya toplu komut dosyaları yazar ve daha sonra bunları yükseltilmiş ayrıcalıklarla başlatır.
SetUpHiJack bu dizinleri sürekli olarak anket yapar ve yeni veya değiştirilmiş bir yükleyici dosyasını tespit ettikten sonra, yükleyici bütünlük kontrollerini yürütmeden önce saldırgan kontrollü bir yükle değiştirir.
Yükleyici takas dosyasını çalıştırırsa, yük, tam sistem uzlaşmasını etkinleştirerek yüksek haklarla yürütülür.
Setuphijack yükleme ve oluşturma
Kullanıcılar, sağlanan makefile ve standart oluşturma araçlarını kullanarak Windows’ta SetupHiJack oluşturabilir. Yapım süreci şunları içerir:
- Setuphijack.cpp’deki yük yolunu tanımlamak ve Nmake ile derleme:
nmake PAYLOAD="C:\Path\to\payload.exe"- SignToolex.exe ve SignToolexHook.dll ile hacklenmiş bir kod imzalama işlemi kullanarak imzalı bir MSI yükleyicisi oluşturma.
- Standart bir kullanıcı hesabı altında arka planda setuphijack.exe çalıştırın. Aleti başlatmak için yüksek ayrıcalıklara gerek yoktur.
Varsayılan olarak, SetupHiJack %Temp %, %AppData %\ Roaming ve %UserProfile %\ indirme tarar.
-Notemp, -noappdata ve -noDownloads gibi bayraklar dar hedeflemeye izin verir. Temiz seçenek, değiştirilen dosyaların yedeklerini geri yükler.
Örnek Saldırı Akışı
SetUphijack kullanan tipik bir saldırı aşağıdaki gibi ilerler:
- Yük oluşturun: Kötü amaçlı bir yükü derleyin ve geçerli bir kod imzalama sertifikası kullanarak imzalayın.
- Setuphijack’i başlat: SetuphiJack.exe’yi başlatın, ayrıcalıklı yükleyici çalıştırma işleminden önce veya sırasında.
- Tetikleme kurulumu: Hedef yükleyiciyi veya güncelleyiciyi yönetici olarak çalıştırın.
- Kaçma Dosyası Damlası: Yükleyici dosyaları (örneğin, kurulum.msi veya setup.exe) %Temp %’e düşürdüğünde, SetUpHiJack bunları imzalı yükle algılar ve anında değiştirir ve orijinali .bak dosyası olarak kaydeder.
- Yük yürütme: Yükleyici, değiştirilen dosyayı yükseltilmiş ayrıcalıklarla yürütür. Yük sistem veya yönetici olarak çalışır.
- Temizleme (isteğe bağlı): Orijinal yükleyici dosyalarını geri yüklemek ve izleri kaldırmak için temiz bayrağı kullanın.
SetUpHiJack’i kullanarak, araştırmacılar geçici yürütülebilir dosyaları %AppData %’a enfekte ederek Zoom’un güncelleme sürecini başarıyla ele geçirdiler.
Kısa bir süre boyunca, araç birden fazla Zoom yükleyici dosyasının yerini aldı ve bir tehdit oyuncusunun bir ortamda nasıl devam edebileceğini ve kimlik bilgilerini nasıl çalabileceğini veya fidye yazılımını dağıttı.
Tersine, Visual Studio ve Wireshark gibi bazı uygulamalar, bu yarış-koşul saldırılarını önleyen sağlam karma ve imza kontrollerini içerir.
SetupHiJack, yükleyicilerin atom dosya işlemlerini, katı bütünlük kontrollerini ve dünya tarafından üretilen dizinlerin sınırlı kullanımını uygulama ihtiyacının altını çiziyor.
Sistem yöneticileri kurulum iş akışlarını denetlemeli, en az ayrıcalığı uygulamalı ve yetkisiz dosya değiştirmeleri izlemeyi düşünmelidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.