Microsoft Windows’daki kritik sıfır günlük güvenlik açıklarından ikisi için bir kavram kanıtı (PoC) istismarı kamuoyuna açıklandı ve bu açıklar yeni bir “düşürme saldırısı”na olanak sağlıyor. CVE-2024-38202 ve CVE-2024-21302 olarak izlenen kusurlar ilk olarak SafeBreach araştırmacısı Alon Leviev tarafından bu ayın başlarında Black Hat USA 2024 ve DEF CON 32’de ifşa edildi.
Güvenlik açıkları, bir saldırganın Windows Update sürecini manipüle ederek tamamen yamalı bir Windows sistemini gizlice eski, güvenlik açığı olan bir duruma düşürmesine olanak tanır. Bu, daha önce düzeltilen güvenlik açıklarını etkili bir şekilde tekrar istismar edilebilir sıfır günlük güvenlik açıklarına dönüştürür.
Safebreach’ten Alon Leviev orijinal araştırmasında şöyle açıklıyor: “Sonuç olarak, tamamen yamalı bir Windows makinesini binlerce geçmiş güvenlik açığına karşı savunmasız hale getirebildim. Bu sayede düzeltilen güvenlik açıklarını sıfır günlere dönüştürdüm ve dünyadaki herhangi bir Windows makinesinde ‘tam yamalı’ terimi anlamsız hale geldi.”
Leviev, “Windows Downdate” olarak adlandırılan PoC açığını GitHub’da yayınladı. Araç, Windows Update sürecini kontrol altına almak ve kritik işletim sistemi bileşenlerinde “tamamen algılanamayan, görünmez, kalıcı ve geri döndürülemez düşüşler” oluşturmak için iki sıfır günün açığının kullanımını otomatikleştiriyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Windows Downdate, çekirdek Windows DLL’lerini, sürücüleri ve hatta NT çekirdeğinin kendisini düşürmek için bütünlük doğrulamasını, Güvenilir Yükleyici zorlamasını ve diğer güvenlik kontrollerini atlatabilir. Ayrıca, yama uygulanmış ayrıcalık yükseltme kusurlarını yeniden ortaya çıkarmak için Credential Guard ve Hyper-V bileşenlerini de düşürebilir.
Etkisi şiddetlidir; bir saldırgan bu teknikleri kullanarak tamamen güncel bir Windows dağıtımını sessizce savunmasız bir duruma geri döndürebilir ve daha önce yamalanmış binlerce güvenlik açığından herhangi birinin istismarını yeniden etkinleştirebilir. Tarama ve kurtarma araçları kötü amaçlı düşürmeleri tespit edemez.
Windows Downdate, Windows Update mimarisinin korumasız öğelerini kötüye kullanarak, tamamen yamalanmış bir sistemi gizlice daha eski, savunmasız bir duruma düşürürken, tespit edilmesi ve geri döndürülmesi çok zor bir şekilde temel güvenlik özelliklerini devre dışı bırakır.
Alon Leviev, “Tamamen yamalı bir Windows makinesini binlerce geçmiş güvenlik açığına karşı savunmasız hale getirebildim. Bu sayede düzeltilen güvenlik açıklarını sıfır günlere dönüştürdüm ve dünyadaki herhangi bir Windows makinesinde ‘tam yamalı’ terimi anlamsız hale geldi” dedi.
Microsoft, 7 Ağustos’ta bir çift uyarıda sıfır günleri kabul etti ve yamalar üzerinde çalıştığını söyledi. Ancak, bir ay sonra düzeltmeler henüz mevcut olmadığından Leviev, farkındalığı artırmak ve daha hızlı yamalamayı teşvik etmek için PoC’yi yayınladı.
Şirket, CVE-2024-21302 uyarısında, “Microsoft, bu güvenlik açığını azaltmak için güncel olmayan, yama uygulanmamış VBS sistem dosyalarını iptal edecek bir güvenlik güncelleştirmesi geliştiriyor, ancak henüz kullanıma sunulmadı” dedi.
Bu arada Microsoft, saldırıya olanak sağlayan PoqexecCmdline kayıt defteri anahtarına erişimi kısıtlamak için Erişim Kontrol Listesi (ACL) veya İsteğe Bağlı Erişim Kontrol Listesi (DACL) uygulamak gibi bazı hafifletme adımları sağladı.
Ancak güvenlik uzmanları bu önlemlerin eksik olduğunu ve kararlı bir saldırgan tarafından kolayca atlatılabileceği konusunda uyarıyor. Tek tam çözüm, Microsoft’tan resmi güvenlik güncellemelerini kullanılabilir olduğunda yüklemek olacaktır.
Olay, sistemleri tehlikeye atmak ve yamalanmış güvenlik açıklarını sürekli olarak yeniden açığa çıkarmak için istismar edilebilen çekirdek işletim sistemi bileşenlerindeki veya tasarımlarındaki sözde sıfır günlük güvenlik açıklarının potansiyel tehlikelerini vurgulamaktadır. Ayrıca, bu karmaşık saldırı yüzeylerine yönelik daha proaktif araştırmalara olan ihtiyacın altını çizmektedir.
Alon Leviev, “Bir işletim sistemindeki tasarım özellikleri, özelliğin ne kadar eski olduğuna bakılmaksızın her zaman gözden geçirilmeli ve ilgili bir saldırı yüzeyi olarak görülmelidir” dedi. “Diğer işletim sistemlerinin de benzer saldırı vektörlerine karşı eşit derecede hassas olabileceğine ve tüm işletim sistemi satıcılarının bunların oluşturduğu tehlikelere karşı dikkatli olması gerektiğine inanıyoruz.”
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces