Güvenlik araştırmacıları, Windows 11’in temel güvenlik özelliklerinde, saldırganların birden fazla koruma mekanizmasını atlamasına ve çekirdek düzeyinde rastgele kod yürütmesine olanak tanıyan güvenlik açıkları keşfetti.
Etkilenen güvenlik bileşenleri arasında Windows 11’de varsayılan olarak etkinleştirilen Sanallaştırma Tabanlı Güvenlik (VBS) ve Hiper Yönetici Korumalı Kod Bütünlüğü (HVCI) yer alıyor.
VBS, işletim sistemi için güven kökü görevi gören yalıtılmış bir bellek ortamı oluştururken HVCI, yetkisiz sürücülerin ve sistem dosyalarının sistem belleğine yüklenmesini önler.
Araştırmacılar, rastgele bir işaretçi referansı güvenlik açığının, geleneksel güvenlik kontrollerini tetiklemeyen, yalnızca veri saldırılarına olanak tanıyan güçlü bir okuma/yazma temeline dönüştürülebileceğini gösterdi. Bu teknik saldırganların şunları yapmasına olanak tanır:
- Belirteç ayrıcalıklarını yükseltin
- Belirteç adreslerini değiştir
- EDR çekirdeği geri aramalarını devre dışı bırakın
- Proses koruma seviyelerini değiştirin
Bu istismar, rastgele bir işaretçi referansı güvenlik açığını rastgele bir okuma/yazma temeline dönüştürerek başlar. Bu dönüşüm, saldırganların, HVCI’nin imzasız kod yürütme kısıtlamalarını atlayarak, yürütülebilir kod enjekte etmeden çekirdek belleğini değiştirmesine olanak tanır. Saldırganlar, çekirdek belleği üzerinde kontrol sahibi olarak aşağıdaki gibi yalnızca veriye yönelik saldırılar gerçekleştirebilir:
- Belirteç yapılarını değiştirerek ayrıcalıkları yükseltmek.
- Uç Nokta Algılama ve Yanıt (EDR) geri aramalarını devre dışı bırakma.
- Belirli işlemler için Korumalı İşlem Işığı (PPL) özelliklerinin değiştirilmesi.
Bu saldırılar, Windows’un çekirdek işlemlerine duyduğu güveni istismar ederek, saldırganların yükseltilmiş ayrıcalıklarla çalışmasına veya güvenlik mekanizmalarını tespit edilmeden devre dışı bırakmasına olanak tanır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Araştırmacılar, VMware’i kullanarak güvenlik açığını gösteren bir kavram kanıtlama ortamını belgelediler. Kurulum belirli yapılandırma adımları gerektirir:
- Ana makinenin Çekirdek izolasyon ayarlarında Bellek bütünlüğünü devre dışı bırakın.
- VMware’in sanal makine ayarlarında VBS Desteğini etkinleştirin.
- VBS işlevselliğini korurken VM’nin UEFI Güvenli Önyükleme ayarlarını değiştirin.
- Konuk işletim sistemindeki Bellek bütünlüğünü yeniden etkinleştirin.
Microsoft’un Yanıtı
Microsoft, Windows 11 24H2’de çeşitli çekirdek adresi sızıntısı güvenlik açıklarını yamalamış olsa da, bunlardan bazıları yönetici ayrıcalıklarına sahip kullanıcılar için hâlâ kullanılabilir durumdadır.
Güvenlik açığı Windows’un birden çok sürümünü etkiliyor:
- Windows 11 21H2 ve sonraki sürümleri
- Windows Server 2016’dan 2022’ye
- x86, x64 ve ARM64 tabanlı sistemler dahil çeşitli platformlar
Şirket, VBS ve HVCI’nin karmaşık kötü amaçlı yazılım saldırılarına karşı korumada önemli rol oynamasıyla güvenlik özelliklerini güçlendirmeye devam ediyor.
Araştırma ekibi, “Bu keşif, modern işletim sistemlerini yalnızca veri saldırılarına karşı koruma konusunda süregelen zorluğun altını çiziyor” dedi. “Windows 11’de gelişmiş güvenlik özellikleri varsayılan olarak etkinleştirilmiş olsa bile, kararlı saldırganlar geleneksel koruma mekanizmalarını tetiklemeden sistem davranışını değiştirmenin yollarını bulabilir.”
Bulgular, yerleşik işletim sistemi korumalarının ötesinde kapsamlı güvenlik önlemlerini sürdürmenin öneminin altını çiziyor; çünkü VBS gibi karmaşık özellikler bile yaratıcı istismar teknikleri yoluyla potansiyel olarak aşılabilir.