Microsoft, Nisan 2024 Salı Yaması güncellemelerinde birden fazla ürün güvenlik yaması yayınladı.
Ele alınan güvenlik açıklarından biri, önem derecesi 7,8 (Yüksek) olan Windows Çekirdek Ayrıcalık Yükseltme güvenlik açığıyla ilişkili CVE-2024-26218’dir.
Bu güvenlik açığı, kötüye kullanılabilecek bir TOCTOU (Kontrol Zamanı Kullanım Süresi) Yarış Durumuyla ilgilidir.
Bu güvenlik açığından başarıyla yararlanılması, bir tehdit aktörünün SİSTEM ayrıcalıkları kazanmasına olanak tanıyabilir.
Bu güvenlik açığı Windows 10, Windows 11 ve Windows Server’ın (2019, 2022) birden çok sürümünde mevcuttu.
Ancak Microsoft bu güvenlik açığını düzeltti ve kullanıcılara İşletim Sistemlerini buna göre güncellemeleri tavsiye ediliyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Teknik Analiz
Bu güvenlik açığına ilişkin bir DEF dosyası, bir EXP dosyası, bir LIB dosyası ve bir SLN dosyasından oluşan bir kavram kanıtı GitHub’da yayımlandı.
Ek olarak, depoda bir C dosyası, bir VCXPROJ dosyası ve bir VCXPROJ filtreleri dosyası içeren başka bir klasör bulundu.
Daha fazla araştırma yapıldığında, bu güvenlik açığına ilişkin bir açıklama, bu kavram kanıtını keşfeden araştırmacı tarafından sağlandı.
Açıklamada, bu güvenlik açığının Windows’taki PspBuildCreateProcessContext işlevi tarafından gerçekleştirilen çift getirme nedeniyle ortaya çıktığı öne sürülüyor.
Bir işlem oluştururken, PS_ATTRIBUTE yapılarının bir dizisi olan PS_ATTRIBUTE_LIST aracılığıyla birden fazla öznitelik oluşturulur ve NtCreateUserProcess sistem çağrısına sağlanır.
Bu öznitelik listesi, daha sonra PspBuildCreateProcessContext işlevi tarafından işlenen kullanıcı modu belleğinde yer alacaktır.
Aslına bakılırsa bu fonksiyon, işlediği her nitelik tipini ele almak için çok sayıda senaryo içermektedir.
Derinlemesine bakıldığında, bu PspBuildCreateProcessContext işlevinin, PsAttributeMitigationOptions ve PsAttributeMitigationAuditOptions öznitelik türlerini işlerken Size alanında çift getirme işlemi gerçekleştirdiği keşfedildi.
Bu, boyut alanının değerinin, potansiyel olarak yığın arabellek taşmasına yol açabilecek alımlar arasında değiştirilebildiği yarış koşulunun mevcut olduğu yerdir.
Bu güvenlik açığının GitHub’da bir kavram kodu kanıtı olmasına rağmen, istismara ilişkin herhangi bir açıklama sağlanmamıştır.
Etkilenen Ürünler ve Sürümlerde Düzeltilenler
Ürün | Yapı Numarasında Sabit |
32 bit Sistemler için Windows 10 Sürüm 22H2 | 10.0.19045.4291 |
ARM64 Tabanlı Sistemler için Windows 10 Sürüm 22H2 | 10.0.19045.4291 |
x64 Tabanlı Sistemler için Windows 10 Sürüm 22H2 | 10.0.19045.4291 |
Windows Server 2022, 23H2 Sürümü (Sunucu Çekirdeği kurulumu) | 10.0.25398.830 |
x64 Tabanlı Sistemler için Windows 11 Sürüm 23H2 | 10.0.22631.3447 |
ARM64 Tabanlı Sistemler için Windows 11 Sürüm 23H2 | 10.0.22631.3447 |
x64 Tabanlı Sistemler için Windows 11 Sürüm 22H2 | 10.0.22621.3447 |
ARM64 Tabanlı Sistemler için Windows 11 Sürüm 22H2 | 10.0.22621.3447 |
x64 Tabanlı Sistemler için Windows 10 Sürüm 21H2 | 10.0.19044.4291 |
ARM64 Tabanlı Sistemler için Windows 10 Sürüm 21H2 | 10.0.19044.4291 |
32 bit Sistemler için Windows 10 Sürüm 21H2 | 10.0.19044.4291 |
ARM64 Tabanlı Sistemler için Windows 11 sürüm 21H2 | 10.0.22000.2899 |
x64 Tabanlı Sistemler için Windows 11 sürüm 21H2 | 10.0.22000.2899 |
Windows Server 2022 (Sunucu Çekirdeği kurulumu) | 10.0.20348.2402 |
Windows Sunucusu 2022 | 10.0.20348.2402 |
Windows Server 2019 (Sunucu Çekirdeği kurulumu) | 10.0.17763.5696 |
Windows Sunucusu 2019 | 10.0.17763.5696 |
ARM64 Tabanlı Sistemler için Windows 10 Sürüm 1809 | 10.0.17763.5696 |
x64 Tabanlı Sistemler için Windows 10 Sürüm 1809 | 10.0.17763.5696 |
32 bit Sistemler için Windows 10 Sürüm 1809 | 10.0.17763.5696 |
Tehdit aktörlerinin bu güvenlik açığından yararlanmasını önlemek için bu güvenlik açığı bulunan sürümlerin kullanıcılarının en son sürümlere yükseltmeleri önerilir.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training ->
Try Free Demo