Windows 11 24H2’de Kaslr Korumaları Nasıl Atlatılır?
Bir güvenlik araştırmacısı, fiziksel bellek erişim özelliklerine sahip HVCI uyumlu bir sürücünün kullanımı yoluyla Windows 11 24H2 sistemlerinde çekirdek adres alanı randomizasyonunun (Kaslr) korumalarının nasıl atlatılabileceğini gösteren ayrıntılı bir analiz yayınlamıştır.
.png
)
Güvenlik araştırmacısı Yezid tarafından 9 Haziran 2025’te yayınlanan araştırma, sistemin fiziksel belleğinde ilkel okuma ve yazma sağlayan Eneio64.sys sürücüsünden yararlanarak Windows çekirdeği taban adresini elde etmek için yeni bir yaklaşım sunuyor.
.webp)
Gösteri, HVCI uyumlu çekirdek sürücülerinden yararlanmaya yönelik önceki araştırmaların devam etmesini temsil eder, özellikle saldırganların veya güvenlik araştırmacılarının fiziksel adreslerin sayfalama yapıları kullanılarak sanal adreslere çevirisini nasıl simüle edebileceğine odaklanır.
Bu teknik, Microsoft’un Windows 11 24H2’deki son güvenlik geliştirmeleri göz önüne alındığında, şimdi enumDevicedrivers kullanma veya ntquerysysteminformasyon gibi orta bütünlük işlemlerinden çalışan operasyonlar için sedebugPrivilege gerektiren son güvenlik geliştirmeleri göz önüne alındığında.
Xacone araştırmacıları, geleneksel Kaslr baypas yöntemlerinin modern Windows sistemlerinde giderek daha zor hale geldiğini, ön resmet-tool gibi araçların farklı ortamlarda tutarsız sonuçlar gösterdiğini belirtti.
Araştırmacı, bu tür araçların ana bilgisayar makinelerinde çalışırken, test için kullanılan Windows 11 24H2 sanal makine ortamlarında güvenilir bir şekilde çalışamadıklarını belirtiyor.
Teknik, 0x10000 ve 0x20000 fiziksel adresleri arasında bulunan HVCI özellikli sistemlerde fiziksel bellek düzenlerinin sürekli olarak bulunan bir veri yapısı olan düşük saplamadan yararlanır.
Bu yapı, birçoğu donanım soyutlama katmanına (HAL) özgü olmasına rağmen, ihraç edilmemiş işlevlerin de dahil olmak üzere çeşitli çekirdek adresleri içerir.
Teknik Uygulama ve Bellek Tarama Metodolojisi
Bu araştırmanın temel inovasyonu, çekirdeğin düşük saplama yapısındaki giriş noktasını tanımlama yaklaşımında yatmaktadır.
Teknik, sert kodlanmış ofsetlere veya geleneksel numaralandırma yöntemlerine güvenmek yerine, çekirdeğin giriş noktası olarak hizmet veren KisystemStartup işlev adresini arar.
Araştırmacı, giriş noktasının göreceli sanal adresini (RVA) almak için ntoskrnl.exe’nin PE görüntüsünün nasıl ayrıştırılacağını gösterir, ardından bu RVA’nın son üç baytı eşleşen adresler için düşük saplamayı tarar.
Uygulama, aşağıdaki yaklaşımı kullanarak sistematik bir bellek taraması içerir: `for (physical_offset = 0x10000; physical_offset < 0x20000; physical_offset += 8)` Potansiyel düşük saplama yerleri ile tekrarlamak, 64 bit değerleri okumak ve bunları bilinen giriş noktası modeliyle karşılaştırmak.Durum kullanılarak bir eşleşme bulunduğunda `if ((qword_value & 0xFFFFF) == (ntosEntryPoint & 0xFFFFF))`çekirdek taban adresi, giriş noktasının RVA'sını keşfedilen adresten çıkarılarak hesaplanabilir.Windows çekirdeğinin 2 MB sınırlara hizalanması, büyük sayfa bellek eşlemelerinden yararlanarak, farklı sistem yapılandırmalarında bu algılama yöntemini kolaylaştıran tutarlı adres kalıpları sağlar.Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin
Kaynak link: [Source link](https://cybersecuritynews.com/windows-11-24h2-kaslr-broken-using-an-hvci-compatible-driver/)