Windows 7’den mevcut Windows 11 sürümlerine kadar tüm Windows istemci sürümleri, saldırganların etkilenen sistemlerin kullanıcılarından NTLM kimlik doğrulama karmalarını ele geçirmesine olanak verebilecek 0 günlük bir güvenlik açığı içerir.
ACROS Security’deki araştırmacılar bu hafta kusuru Microsoft’a bildirdi. Sorunu eski Windows sistemleri için bir yama yazarken keşfettiler. CVE-2024-38030Microsoft’un kendi çözümüyle hafiflettiği, orta önemde bir Windows Temaları kimlik sahtekarlığı güvenlik açığı Temmuz güvenlik güncellemesi.
Önceki İki Güvenlik Açığının Çeşitleri
Güvenlik açığı ACROS keşfedildi CVE-2024-38030’a çok benzer ve kimlik doğrulama zorlama saldırısı olarak bilinen saldırıyı mümkün kılar; burada savunmasız bir cihaz aslında NTLM karmalarını göndermeye zorlandı – bir kullanıcının şifresinin bir saldırganın sistemine kriptografik temsili. Akamai araştırmacısı Tomer Peled keşfedildi Microsoft’un düzeltmesini analiz ederken CVE-2024-38030 CVE-2024-21320başka bir eski Windows temaları kimlik sahtekarlığı güvenlik açığı o keşfetti ve Microsoft’a bildirildi. ACROS’un ortaya çıkardığı kusur, Peled’in daha önce bildirdiği iki kusurla ilgili yeni ve ayrı bir güvenlik açığıdır.
Windows tema dosyaları, kullanıcıların Windows masaüstü arayüzünün görünümünü duvar kağıtları, ekran koruyucular, renkler ve sesler aracılığıyla özelleştirmelerine olanak tanır. Akamai araştırmacısı Peled’in keşfettiği güvenlik açıklarının her ikisi de temaların, özellikle “BrandImage” veya “Wallpaper” olmak üzere birkaç görüntü kaynağına giden dosya yollarını işleme biçimiyle ilgiliydi. Peled, uygunsuz doğrulama nedeniyle bir saldırganın bu kaynaklara giden meşru yolu, Windows’un kullanıcının NTLM karma değeriyle birlikte otomatik olarak kimliği doğrulanmış bir isteği saldırganın cihazına göndermesini sağlayacak şekilde değiştirebileceğini buldu.
Peled’in Dark Reading’e açıkladığı gibi, “Temalar dosya formatı birden fazla ‘anahtar, değer’ çifti içeren bir .ini dosyasıdır. Başlangıçta dosya yollarını kabul edebilecek iki anahtar, değer çifti buldum” diyor.
Peled, orijinal güvenlik açığının (CVE-2024-21320), anahtar ve değer çiftlerinin ağ sürücüleri için UNC yollarını (paylaşılan dosyalar ve klasörler gibi ağ kaynaklarını tanımlamak için standartlaştırılmış bir format) kabul etmesinden kaynaklandığını belirtiyor. “Bu [meant] UNC yoluna sahip, silah haline getirilmiş bir tema dosyasının, kullanıcı kimlik doğrulaması ile giden bağlantıyı onların haberi olmadan tetikleyebileceğini söyledi.” Microsoft, UNC yolu olmadığından emin olmak için dosya yoluna bir kontrol ekleyerek sorunu düzeltti. Ancak Peled Microsoft’un bu doğrulama için kullandığı işlevin bazı geçişlere izin verdiğini ve Peled’in ikinci güvenlik açığını (CVE-2024-38030) keşfetmesine yol açtığını söylüyor.
Microsoft ‘Gerektiği Gibi’ Hareket Edecek
ACROS Security’nin bu hafta bildirdiği şey, aynı dosya yolu sorunundan kaynaklanan üçüncü Windows tema sahteciliği güvenlik açığıdır. ACROS Security CEO’su Mitja Kolsek, “Araştırmacılarımız bu güvenlik açığını Ekim ayı başında, birçok kullanıcımızın hala kullanmakta olduğu eski Windows sistemleri için CVE-2024-38030 için bir yama yazarken keşfettiler” diyor. “Bu sorunu Microsoft’a bildirdik [on] 28 Ekim 2024, ancak Microsoft’un kendi yamasını kamuya açık hale getirmesinin ardından yapmayı planladığımız ayrıntıları veya kavram kanıtını yayınlamadık.”
Bir Microsoft sözcüsü, e-posta yoluyla şirketin ACROS raporundan haberdar olduğunu ve “müşterilerin korunmasına yardımcı olmak için gerektiğinde harekete geçeceğini” söyledi. Şirketin yeni sorun için henüz bir CVE veya güvenlik açığı tanımlayıcısı yayınlamadığı görülüyor.
Akamai’nin keşfettiği önceki iki Windows teması yanıltma güvenlik açığı gibi, ACROS’un bulduğu yeni tema da bir saldırganın herhangi bir özel ayrıcalığa sahip olmasını gerektirmiyor. Kolsek, “Ancak bir şekilde kullanıcının bir tema dosyasını bilgisayarındaki başka bir klasöre kopyalamasını, ardından simgeleri görüntüleyen bir görünüm kullanarak bu klasörü Windows Gezgini ile açmasını sağlamaları gerekiyor” diyor. “Dosya ayrıca ziyaret sırasında İndirilenler klasörüne de otomatik olarak indirilebilir. [an] Bu durumda saldırganın, kullanıcının İndirilenler klasörünü daha sonra görüntülemesini beklemesi gerekir.”
Kolsek, kuruluşların mümkün olduğu durumlarda NTLM’yi devre dışı bırakmasını tavsiye ediyor ancak herhangi bir ağ bileşeninin NTLM’yi kullanması durumunda bunun işlevsel sorunlara yol açabileceğini de kabul ediyor. “[An] Saldırgan yalnızca NTLM’nin etkin olduğu bir bilgisayarı başarıyla hedefleyebilir” diyor ve şöyle devam ediyor: “Diğer bir gereksinim de, kötü amaçlı bir tema dosyası tarafından başlatılan bir isteğin, saldırganın İnternet’teki veya bitişik ağdaki sunucusuna ulaşabilmesidir.” Sonuç olarak, bir saldırganın kitlesel bir istismardan ziyade hedeflenen bir kampanyadaki kusurdan yararlanmaya çalışmasının daha muhtemel olduğunu söylüyor.
Akamai’den Peled, teknik ayrıntılara erişmeden ACROS’un güvenlik açığının neyle ilgili olduğunu bilmenin zor olduğunu söylüyor. “Ancak kontrolü atlatan başka bir UNC bypass’ı olabilir veya orijinal yamada gözden kaçan farklı bir anahtar, değer çifti olabilir” diyor. “UNC yol formatları çok karmaşık ve tuhaf kombinasyonlara izin veriyor, bu da bunların tespitini çok zorlaştırıyor. Düzeltmenin bu kadar karmaşık olmasının nedeni bu olabilir.”