Windows’un duvar kağıdı işleme mekanizmasında kritik bir güvenlik açığı ortaya çıkarıldı. Saldırganların etkilenen makinelerde sistem düzeyinde ayrıcalıklar elde etmesine olanak sağlıyor. Güvenlik araştırmacısı Andrea Pierini, CVE-2024-38100 olarak izlenen ve “FakePotato” olarak adlandırılan açığı açıkladı.
FakePotato istismarı, Windows’un duvar kağıdı dosyalarını işleme biçimindeki bir kusurdan yararlanır. Özel olarak hazırlanmış bir duvar kağıdı görüntüsünün belirli özelliklerini manipüle ederek, bir sisteme sınırlı erişimi olan bir saldırgan ayrıcalıklarını SYSTEM hesabının ayrıcalıklarına yükseltebilir ve makine üzerinde etkili bir şekilde tam kontrol elde edebilir.
- Yerel erişim veya hedef sisteme kötü amaçlı bir duvar kağıdı dosyası yerleştirme yeteneği gerektirir
- Windows 10 ve Windows Server 2019 dahil olmak üzere birden fazla Windows sürümünü etkiler
- SİSTEM ayrıcalıklarını elde etmek için duvar kağıdı işleme sürecini kullanır
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Windows Dosya Gezgini Ayrıcalık Yükseltme Güvenlik Açığı (CVE-2024-38100) 7,8’lik bir CVSS v3.x temel puanına atandı ve bu yüksek bir önem düzeyine işaret ediyordu. Bu güvenlik açığı, Windows Server’ın birden fazla sürümünü etkiledi:
- Windows Sunucusu 2016
- Windows Sunucusu 2019
- Windows Sunucusu 2022
- Windows Server 2022 23H2
Sızdırılan Duvar Kağıdı Saldırısı Ayrıntıları
Michael Zhmaylo olarak bilinen bir GitHub kullanıcısı tarafından geliştirilen kavram kanıtı (PoC) istismarı, saldırganların kullanıcı kimlik bilgilerine yetkisiz erişim elde etmek için bu güvenlik açığından nasıl yararlanabileceğini gösterdi. İstismar şu şekilde çalıştı:
- Hedef sistemde düşük ayrıcalıklı bir hesaba sahip olan bir saldırgan, istismar aracını çalıştıracaktır.
- Araç, genellikle daha yüksek ayrıcalıklara sahip olan belirli bir kullanıcı oturumunu hedef alacaktır.
- Windows Dosya Gezgini’nin manipüle edilmesiyle, istismar hedef oturumun kötü amaçlı bir SMB paylaşımına bağlanmaya zorlanması sağlanabilir.
- Bu bağlantı girişimi hedeflenen kullanıcının NetNTLM hash’ini sızdıracaktır.
Bu güvenlik açığının başarılı bir şekilde istismar edilmesi saldırganların şunları yapmasına olanak tanıyabilir:
- Etkilenen sistemlerde ayrıcalıkları yükseltin
- Hassas kullanıcı bilgilerine yetkisiz erişim sağlayın
- Elde edilen kimlik bilgilerini kullanarak bir ağ içinde potansiyel olarak yatay hareket edin
Güvenlik uzmanları, bu tür istismarların, yatay hareket ve ayrıcalık yükseltmenin gelişmiş kalıcı tehditlerin (APT) temel bileşenleri olduğu kurumsal ortamlarda özellikle tehlikeli olabileceği konusunda uyarıyor.
Microsoft bu güvenlik açığını KB5040434 güvenlik güncelleştirmesinde ele aldı. Kullanıcılara ve sistem yöneticilerine, istismar riskini azaltmak için bu yamayı mümkün olan en kısa sürede uygulamaları şiddetle tavsiye edilir. Ayrıca, kuruluşlar aşağıdaki güvenlik önlemlerini uygulamayı düşünmelidir:
- Tüm Windows sistemlerini ve uygulamalarını düzenli olarak güncelleyin
- Kullanıcı hesapları için en az ayrıcalık ilkesini uygulayın
- Ayrıcalık yükseltme girişimleriyle ilgili şüpheli etkinlikleri izleyin
- Güçlü kimlik doğrulama yöntemlerini kullanın ve mümkün olduğunda çok faktörlü kimlik doğrulamayı göz önünde bulundurun
Microsoft bu özel güvenlik açığını düzeltmiş olsa da, ortaya çıkan tehditlere karşı korunmak için güncel sistemlere sahip olmanın ve güçlü güvenlik uygulamaları kullanmanın önemini vurguluyor.
Siber tehditler geliştikçe, en son güvenlik açıkları hakkında bilgi sahibi olmak ve güvenlik güncellemelerini derhal uygulamak, Windows tabanlı sistemlerin ve ağların bütünlüğünü ve güvenliğini korumak için kritik öneme sahip olmaya devam ediyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access