Microsoft, Şubat 2025’in Salı günü Yaması boyunca Windows Disk Temizleme Yardımcı Programında (CleanMgr.exe) yüksek aralıklı bir ayrıcalık güvenlik açığı (CVE-2025-21420) yüksekliğine hitap etti.
CVSS ölçeğinde 7.8 puan alan kusur, saldırganların DLL kenar yükleme ve bir dizin geçiş tekniği yoluyla sistem ayrıcalıklarıyla kötü amaçlı kod yürütmesini sağladı.
Güvenlik açığı, CleanMgr.exe’nin DLL yükleme yollarını doğrulamamasından ve sembolik bağlantı saldırılarını azaltmamasından kaynaklanmaktadır.
.png
)
Anahtar bileşenler şunları içerir:
1. Sömürü mekanizması
- DLL Sideloading: Saldırganlar kötü niyetli kütüphaneler dikiyor (örn.
dokannp1.dll) yazılabilir sistem dizinlerinde. bashcp .\dokan1.dll C:\Users\Bu komut zinciri, imzasız DLL’leri yüklemek için yol müdahale güvenlik açıklarından yararlanır.\System32\System32\System32\dokannp1.dll cleanmgr /sageset:2 - SilentCleanup Görevi Kaçırma: Windows Görev Zamanlayıcısı
SilentCleanupGörev (sistem olarak çalıştırma) uygun sembolik kontrolleri olmadan klasör içeriğini siler. Saldırganlar bunu kötüye kullanıyor: Python# Exploit script structure os.makedirs(r'C:\$Windows.~WS') os.makedirs(r'C:\ESD\Windows') open(r'C:\ESD\Windows\dummy.txt', 'w').close()Klasör silme işlemlerini yeniden yönlendirerekC:\Config.Msisaldırganlar keyfi dosya işlemlerini tetikler.
2. Güvenlik Açığı Zinciri
| Pre-Patch davranışı | Patch sonrası azaltma |
|---|---|
| Symlinks için yeniden yönlendirme koruyucusu yok | SetProcessMitigationPolicy etkinleştirilmiş |
| Kullanıcı yollarından güvenilmeyen DLL yükleme | DLL’ler için katı imza doğrulaması |
| Kavşaklar aracılığıyla ayrıcalıklı dosya silme | CWE-59 yol normalizasyonu yoluyla çözüldü |
Konsept Kanıtı (POC) iş akışı
Güvenlik araştırmacıları, çok aşamalı bir süreç kullanarak sömürü gösterdiler:
- Klasör kurulumu: İç içe dizinler oluştur (
C:\ESD\Windows) SilentCleanup’ın silme rutini tetiklemek için kukla dosyalarla. - Kavşak yeniden yönlendirme: Kullanmak
FolderContentsDeleteToFolderDeleteDönüştürmek içinC:\ESD\Windowsişaret eden bir kavşağaC:\Config.Msi. - Ayrıcalık artışı: Uygulamak
osk.exePost-cleanup, bir sistem kabuğunu tehlikeye atılan config.msi diziniyle ortaya çıkarmak için.
python# Sample exploit script (abridged)
import os, time
os.makedirs(r'C:\$Windows.~WS', exist_ok=True)
os.makedirs(r'C:\ESD\Windows', exist_ok=True)
with open(r'C:\ESD\Windows\dummy.txt', 'w') as f: f.write('trigger')
input("Press Enter after setting up junctions...")
os.startfile(r'C:\Windows\System32\cleanmgr.exe')
Azaltma ve yama dağıtım
Microsoft’un Şubat 2025 güncellemesi kusuru çözüyor:
- Yeniden Yönlendirme Muhafızları: Symlink saldırılarını bloklar
PROCESS_MITIGATION_REDIRECTION_TRUST_POLICY. - DLL İmza Uygulama: Cleanmgr.exe artık kütüphaneleri yüklemeden önce dijital imzaları doğrular.
Önerilen Eylemler:
- Windows Update/WSUS üzerinden KB5025321’i hemen uygulayın.
- Yetkisiz DLL’ler için denetim sistemi dizinleri (örn.
dokannp1.dll). - İzlemek
cleanmgr.exeStandart olmayan bağlamlarda yürütmeler.
Bu yama, Windows yardımcı fonksiyon sürücüsünde (CVE-2025-21418) ve NTLM’de (CVE-2025-21377) aktif olarak sömürülen sıfır günler de dahil olmak üzere 67 güvenlik açıkını düzelten daha geniş bir güncellemenin bir parçasıdır.
Kuruluşlar, istismarın düşük karmaşıklığı ve yüksek etkisi göz önüne alındığında, yama dağıtımına öncelik vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin