Windows 11’deki kritik bir güvenlik açığı, saldırganların düşük ayrıcalıklı bir kullanıcıdan sadece 300 milisaniyede tam sistem yönetici haklarına yükselmesine izin verdi.
CVE-2025-24076 olarak izlenen güvenlik açığı, Windows 11’in “Mobil Cihazları” özelliğindeki bir zayıflıktan yararlanır.
Eylül 2024’te keşfedilen ve 15 Nisan 2025’te kamuya açıklanan güvenlik kusuru, Windows 11’in kamera işlevselliği tarafından yüklenen bir DLL dosyasını hedefliyor.
.png
)
Araştırmacılar, CrossDevice.streaming.source.dll dosyasının, kullanıcı ile değiştirilebilir %programData %\ crossDevice \ dizininde bulunan, önce normal bir kullanıcı işlemi ve daha sonra yüksek privileged sistem işlemi ile yüklendiğini buldular.
Compass Security’den John Ostrowski, “Bu güvenlik açığı, zorlu bir zamanlama öğesi ile klasik bir DLL kaçırma senaryosunu temsil ediyor,” dedi Compass Security’den John Ostrowski. “Fırsat penceresi inanılmaz derecede küçük sadece 300 milisaniye, ancak sömürüyü güvenilir hale getirmek için teknikler geliştirdik.”
Windows 11 İmtiyaz Artış Güvenlik Açığı
Sömürü birden fazla teknik zorluk içermektedir. PRIVESCCHECK aracını kullanarak ilk otomatik taramalar, ayrıcalıklı olmayan kullanıcıların COM Server modülü dosyasında değişiklik haklarına sahip olduğunu ortaya koydu:
Dar zaman penceresinin üstesinden gelmek için araştırmacılar, gereken kesin anda program yürütmeyi durdurmak için fırsatçı kilitler kullandılar.
Microsoft’un Detours Kütüphanesi’ni kullanarak, dosyanın ne zaman güvenilir bir şekilde değiştirilebileceğini tanımlamak için GetFileVersionInfoexw’yi hedefleyen Windows API çağrılarını ele geçirdiler.
Araştırmacılar, yetkisiz komutlar eklerken beklenen işlevselliği koruyan kötü niyetli bir DLL oluşturdu:
Bu kod, yüksek ayrıcalıklı işlemle yüklendiğinde sistem ayrıcalıklarıyla yürütülür. Değiştirilen DLL’nin korunmuş işlevselliğini sağlamak için araştırmacılar, işlev çağrılarını orijinal DLL’ye ileten bir proxy uyguladılar:
Hafifletme
Güvenlik açığı, Windows 11 sistemlerini, kullanıcıların telefonlarını telefon kamerasını web kamerası olarak kullanmak için bağlamalarını sağlayan “Mobil Cihazlar” özelliğine sahip etkiler. Microsoft, Mart 2025 güvenlik güncellemelerinde bir yama yayınladı.
Bu keşif, ayrıcalıklı süreçlerde sıkı dosya erişim kontrollerinin ve imza doğrulamasının önemini vurgulamaktadır.
Son nokta tespit ve yanıt (EDR) çözümleri, mevcut yamalardan önce bile davranışsal izleme yoluyla bu tür saldırıları tespit edebilir.
Araştırmacılar, “Sisteminizi güncel tutmak çok önemli olsa da, makinenizi korumak için atabileceğiniz ek adımlar var” dedi. “Bir EDR çözümü kullanarak, alışılmadık davranışı proaktif olarak tespit edebilir ve düzensiz aktiviteyi tanımlayabilirsiniz.”
Microsoft, aynı işlevsellik dahilinde ilgili bir kullanıcı-kullanıcı saldırısı vektörüne CVE-2025-24076’yı birincil sistem düzeyinde ayrıcalık artışına ve CVE-2025-24994’e atadı.
Kullanıcılar, bu güvenlik açıklarını azaltmak için en son Windows güvenlik güncellemelerini uygulamaya şiddetle teşvik edilir.
İstismar, modern işletim sistemlerinin bile yeni özelliklerde uygulandığında, özellikle yetenekli saldırganlar zamanlama ve yarış koşullarından yararlandıklarında köklü saldırı tekniklerine karşı nasıl savunmasız olabileceğini göstermektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy