Windows Defender’ın güncelleme sürecindeki ciddi bir güvenlik açığı, güvenlik hizmetini devre dışı bırakmak ve temel dosyalarını manipüle etmek için yönetici ayrıcalıkları olan saldırganlara izin verir.
Defender’ın yürütme klasörünü nasıl seçtiğine dair bir kusurdan yararlanan teknik, Windows işletim sisteminde zaten mevcut olan araçlar kullanılarak gerçekleştirilebilir.
Güvenlik açığı, saldırganlar ve uç nokta koruma sistemleri arasındaki sürekli savaşı araştıran Sıfır Salaryum tarafından detaylandırıldı.
Kırmızı ekipler genellikle kaçınma tespitine odaklanırken, bu yöntem savunma yazılımının kendisinin doğrudan nötralizasyonunu sağlar.
Güncelleme mekanizmasını kullanmak
İstismarın çekirdeği, Windefend hizmetinin sürüm güncellemelerini işleme biçiminde yatmaktadır. Windows Defender, yürütülebilir dosyalarını içinde bulunan sürüm numaralı bir klasörde saklar ProgramData\Microsoft\Windows Defender\Platform\.
Hizmet başladığında veya güncellendiğinde bunu tarar Platform dizin ve yeni operasyonel yolu olarak en yüksek sürüm numarasına sahip klasörü seçer.
Microsoft bu klasörleri değiştirilmesini korurken, araştırmacı yönetici haklarına sahip bir kullanıcının hala oluşturabileceğini keşfetti. yeni İçindeki klasörler Platform dizin.
Bu gözetim, bir saldırganın güncelleme sürecini manipüle etmesine izin verir. Bir saldırgan, mevcut olandan daha yüksek bir sürüm numarası olan sembolik bir bağlantı (SymLink) oluşturarak, savunmacı hizmetini tamamen farklı, saldırgan kontrollü bir klasöre yönlendirebilir.
Saldırı birkaç adımda gerçekleştirilir:
- İlk olarak, saldırgan meşru Windows Defender yürütülebilir dosyalarını yeni, teminatsız bir yere kopyalar (örn.,
C:\TMP\AV). - Sonra, kullanarak
mklinkkomuta, korunan içinde sembolik bir bağlantı oluştururlarPlatformdosya. Bu SymLink, Defender’ın daha yeni bir sürümü gibi görünen ve ilk adımda oluşturulan güvenli olmayan klasöre işaret eden bir isim verilir. - Bir sonraki sistem yeniden başlatıldığında, Windefend hizmeti SymLink’i en son sürüm olarak tanımlar ve işlemlerini saldırgan kontrollü dizinden başlatır.
Kontrol kurulduktan sonra, saldırgan Defender’ın çalıştığı dosyalara tam okuma/yazma erişimine sahiptir. Bu, birkaç kötü niyetli sonuç sağlar.
Örneğin, bir saldırgan, DLL yan yükleme saldırısı gerçekleştirmek için klasöre kötü niyetli bir DLL dikebilir ve güvenilir savunma işleminde kötü amaçlı kod yürütebilir.
Daha basit bir şekilde, yürütülebilir dosyaları yok edebilir ve hizmetin çalışmasını önleyebilirler.
Bir gösteride araştırmacı, kaçırma işleminden sonra sembolik bağlantıyı silerek, savunma hizmetinin bir sonraki çalışmada yürütülebilir yolunu bulamadığını gösterdi.
Bu, hizmeti etkili bir şekilde durdurur ve tüm gerçek zamanlı virüsü ve tehdit korumasını devre dışı bırakır ve makineyi savunmasız bırakır.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.