Microsoft, Windows 11’i (sürüm 23H2) etkileyen ve yerel saldırganların ayrıcalıkları SİSTEM düzeyine yükseltmesine olanak verebilecek kritik bir güvenlik açığını hızla giderdi.
Güvenlik araştırmacısı Alex Birnberg, bu ünlü saldırıda bu istismarı sergiledi. TayfunPWN 2024 Siber güvenlik yarışmasında kusuru gösterdiği için üçüncü sırayı aldı.
TayfunPWNÖnde gelen siber güvenlik yarışmalarından biri olan , yaygın olarak kullanılan yazılımlardaki güvenlik açıklarını ortaya çıkarmak için dünyanın dört bir yanından güvenlik araştırmacılarını bir araya getiriyor.
Alex Birnberg’in CVE-2024-30085’i başarılı bir şekilde göstermesi, ciddi güvenlik kusurlarının ortaya çıkarılması ve giderilmesinde bu tür olayların önemini vurguluyor.
Güvenlik Açığı Ayrıntıları
Resmi olarak takip edilen güvenlik açığı CVE-2024-30085ikamet ediyor Cloud Files Mini Filtre Sürücüsü (cldflt.sys).
Sorun, yeniden ayrıştırma noktaları ayrıştırılırken kullanıcı tarafından sağlanan verilerin hatalı şekilde doğrulanmasından kaynaklanmaktadır.
Özellikle sürücü, verileri sabit uzunluklu yığın tabanlı arabelleğe kopyalamadan önce verinin boyutunu doğrulamakta başarısız olur.
Bir saldırgan, bundan yararlanarak bu güvenlik açığından yararlanarak belleğin üzerine yazabilir ve Sistem bağlamında kod çalıştırabilir ve kendisine yüksek ayrıcalıklar verebilir.
Windows 11 sürüm 23H2’de, saldırganların bu kusurdan yararlanabilmesi için öncelikle hedeflenen sistemde düşük ayrıcalıklı kod yürütme yeteneğini kazanması gerekiyor; bu da kullanıcıların zaten sınırlı sistem erişimine sahip olduğu ortamlarda riski önemli ölçüde artırıyor.
Bağımsız güvenlik araştırmacıları güvenlik açığını ayrıntılı bir şekilde analiz ederek işlevdeki temel nedenini belirlediler HsmIBitmapNORMALOpen Windows Bulut Dosyaları Mini Filtre Sürücüsünde.
Yeniden ayrıştırma noktası bit eşlemlerinin yanlış işlenmesi, saldırganların önemli kontrolleri atlamasına ve kötü amaçlı verileri sistem belleğine yerleştirmesine olanak tanır.
Bu kusur, dosya işlemleri sırasında belirli koşullar altında yeniden ayrıştırılan verilerin uzunluk doğrulamasının atlandığı senaryolarda ortaya çıkar. Bu uygunsuz kullanım, belleğin üzerine yazmak için kullanılabilir ve bu da ayrıcalık artışına yol açabilir.
Şurada gösterilen istismar: TayfunPWN 2024savunmasız işlevden yararlanmak ve SİSTEM düzeyinde ayrıcalıklara ulaşmak için dikkatle hazırlanmış bir yeniden ayrıştırma noktası oluşturmayı içeriyordu.
Gösteri, analizinin yaratıcılığını ve teknik derinliğini vurgulayarak Alex Birnberg’e yarışmada üçüncü sırayı kazandırdı.
En İyi Uygulamalar:
- Yönetici erişimini güvenilir kullanıcılarla kısıtlayın.
- Tüm Windows sistemlerini en son yamalarla düzenli olarak güncelleyin.
- Özellikle dosya işlemleri ve yeniden ayrıştırma noktaları etrafındaki olağandışı davranışlara karşı sistem etkinliğini izleyin.
- Kötüye kullanım işaretlerini izlemek için izinsiz giriş tespit sistemlerini (IDS) kullanın.
Kuruluşlar ayrıca Cloud Files Mini Filtre Sürücüsü kullanımını denetlemeli ve yükseltilmiş ayrıcalıklar gerektiren sistemlere harici erişimin en aza indirilmesini sağlamalıdır.
Bu son keşif, proaktif siber güvenlik uygulamalarının kritik öneminin altını çiziyor. Microsoft’un güvenlik açığını düzeltme konusundaki hızlı tepkisi, sektörün kullanıcıları koruma konusundaki kararlılığını yansıtıyor. Etkilenen tüm kullanıcılar, cihazlarının bu ve diğer güvenlik açıklarına karşı güvende kalmasını sağlamak için sistem güncellemelerine öncelik vermelidir.
Birnberg’in açıklamasının ardından Microsoft, güvenlik açığını azaltmak için derhal bir yama yayınladı. Kullanıcıların, resmi Microsoft Güncelleme Kılavuzu aracılığıyla en son güvenlik güncellemesini uygulayarak sistemlerini güncellemeleri önemle tavsiye edilir:
Kullanıcıların, CVE-2024-30085 yamasını içeren en son Windows güncellemesini hemen yüklemeleri önerilir.