Windows’un kutu dışı deneyiminde (OOBE) yeni belgelenmiş bir güvenlik açığı, kullanıcıların güvenlik kısıtlamalarını atlamalarına ve Microsoft’un amaçlanan koruyucu önlemleri mevcut olsa bile komut istemi işlevselliğine tam idari erişim kazanmasına olanak tanır.
Güvenlik araştırmacıları, iyi bilinen Shift+F10 klavye kısayol kısıtlamalarını atlatan Windows Oobe’den yararlanmak için alternatif bir yöntem belirlediler.
Güvenlik açığı, kullanıcıların ilk kurulum işlemi sırasında yerel yöneticiler grubuna üyeliği koruyan VarsayılanAser0 hesabı aracılığıyla yönetici ayrıcalıklarla yükseltilmiş bir komut kabuğu oluşturmalarını sağlar.
Geleneksel Saldırı Vektörü
Shift+F10 klavye kısayolu uzun zamandır Oobe ortamlarında bir güvenlik kaygısı olarak kabul edilmektedir.
Bu kısayol, geleneksel olarak kullanıcıların ilk Windows kurulum aşamasında yükseltilmiş bir komut istemine erişmesine izin verdi.
Microsoft, C: \ Windows \ Setup \ Scripts \ dizinine disableCmdRequest.Tag adlı boş bir dosyanın yerleştirilmesi yoluyla yöneticilerin kısayolu devre dışı bırakmalarını sağlayarak bu güvenlik açığını ele aldı.
Yeni sömürü yöntemi keşfedildi
Bununla birlikte, araştırmacılar şimdi koruyucu önlemin yetersiz olduğunu kanıtlamışlardır. Yeni tanımlanan saldırı vektörü, çalıştırma iletişim kutusunu başlatmak için Windows+R klavye kombinasyonunu kullanır ve Shift+F10 kısıtlamalarını tamamen atlar.
Sömürü süreci, kullanıcıların pencere odağı oluşturmak için önce büyüteç (magnify.exe) gibi bir erişilebilirlik aracı açmasını gerektirir.
Daha sonra, Windows+R tuşuna basmak, RUN iletişim kutusunu arka planda ortaya çıkarır. Başlangıçta görünmez olsa da, kullanıcılar mevcut pencerelerden geçmek için alt+sekmeyi kullanarak iletişim kutusunu açığa çıkarabilir.
Çalıştırma iletişim kutusu odak kazandıktan sonra, saldırganlar cmd.exe yazabilir ve bir yükseklik istemini tetiklemek için ctrl+shift+enter tuşuna basın.
Kullanıcı Hesabı Kontrolü (UAC) istemini kabul etmek, varsayılanAser0 bağlamı altında çalışarak tam yönetim ayrıcalıklarıyla yüksek bir komut istemini açar.
Bu güvenlik açığı, özellikle kullanıcıların Microsoft Intune Company Portalı aracılığıyla push düğmesi sıfırlama işlevselliğini kullanabilecekleri kurumsal ortamlarda önemli güvenlik riskleri sunmaktadır.
Kötü niyetli aktörler arka kapı hesapları oluşturabilir, sistem yapılandırmalarını değiştirebilir veya kalıcı erişim mekanizmaları oluşturabilir.
Microsoft, bu davranışı bir “düzeltmeyecek” sorunu olarak sınıflandırdı, Oobe’nin tasarım yoluyla bir yönetim oturumunda çalıştığını ve kurulum sırasında cihazları gözetimsiz bırakmanın kilidi açılmış bir makineyi korumaya eşdeğer olduğunu belirtti.
Kuruluşlar, kurumsal Windows cihazlarındaki Sıfırlama düğmesini gizlemek için INTUNE politikalarını değiştirerek sömürüye karşı korunabilir.
Yöneticiler Microsoft Intune Yönetici Merkezi’ne gitmeli, kiracı yönetimi seçmeli, ardından özelleştirmeli ve “Kurumsal Windows cihazlarındaki sıfırlama düğmesini gizle” seçeneğinin etkin olduğundan emin olmalıdır.
Keşif, OOBE’nin ayrıcalıklı yürütme bağlamının doğal güvenlik zorluklarının altını çiziyor ve yönetilen ortamlarda cihaz sıfırlama işlevselliğine kullanıcı erişimini kontrol etmenin önemini vurgulamaktadır.
AWS Security Services: 10-Point Executive Checklist - Download for Free