Windows’un Dosya Geçmişi hizmetini etkileyen ve tehdit aktörleri tarafından Windows Sisteminde yükseltilmiş ayrıcalıklar elde etmek için kullanılabilen bir Ayrıcalık Artışı yakın zamanda keşfedildi.
Bu sorun Microsoft’a bildirildi ve bu güvenlik açığının giderilmesi için gerekli yamalar yayımlandı.
Windows için Dosya Geçmişi, Kitaplıklar, Masaüstü Bilgisayarlar, Sık Kullanılanlar klasörü vb.’de depolanan verileri otomatik olarak yedekleyen bir yedekleme ve geri yükleme özelliğidir. Ayrıca verileri USB, Flash sürücü veya HDD gibi harici bir kaynağa da yedekleyebilir.
CVE-2023-35359 – Windows Ayrıcalık Yükseltmesi
Bu güvenlik açığı, Dosya Geçmişi’nin, sistem kullanıcısı olarak kötü amaçlı etkinlikler gerçekleştirmek amacıyla ayrıcalıkları normal bir kullanıcıdan sistem kullanıcısına yükseltmek için yararlanılabilecek sistem ayrıcalıklarıyla birlikte çalışması nedeniyle ortaya çıkar.
Dosya Geçmişi hizmeti başlatıldığında, fhsvc.dll çekirdek dosyasını ve güvenlik açığı olduğu tespit edilen CManagerThread::QueueBackupForLoggedOnUser işlevini yükler. Bu işlev, oturum açan kullanıcının benzetimini yapar ve bu güvenlik açığının temel nedeni olan fhcfg.dll dosyasını yükler.
Dosya Geçmişi normal bir kullanıcı tarafından manuel olarak başlatılabilir ve ayrıca DosDevices de değiştirilebilir. Ayrıca, fhcfg.dll yüklendiğinde, aynı zamanda bir bildirimin kaynağını da içerir ve csrss.exe (İstemci/Sunucu Çalışma Zamanı Alt Sistemi) aynı zamanda normal kullanıcının kimliğini taklit eder.
Normal bir kullanıcı DosDevices’ı C:\Users\Public\test gibi sahte bir dizine ve ardından csrss.exe’ye işaret edecek şekilde değiştirebilir. Sahte dizin, ayrıcalıkları yükseltmek için kullanılacak başka bir DLL’ye bağlantı içermelidir.
SSD Açıklama, kavram kanıtı, yararlanma yöntemi ve bu güvenlik açığının temel nedeni hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınladı.
Etkilenen Ürünler
| Ürün | Platformlar | Etkilenen Sürümler |
| Windows Sunucusu 2019 | x64 Tabanlı Sistemler | 10.0.17763.4737 öncesi 10.0.0’dan etkilendi |
| Windows 10 Sürüm 1809 | 32 bit Sistemler, x64 tabanlı Sistemler, ARM64 tabanlı Sistemler | 10.0.17763.4737 öncesi 10.0.0’dan etkilendi |
| Windows Server 2019 (Sunucu Çekirdeği kurulumu) | x64 Tabanlı Sistemler | 10.0.17763.4737 öncesi 10.0.0’dan etkilendi |
| Windows Sunucusu 2022 | x64 Tabanlı Sistemler | 10.0.20348.1906’dan önceki 10.0.0’dan etkilendi10.0.20348.1903’ten önceki 10.0.0’dan etkilendi |
| Windows 11 sürüm 21H2 | x64 tabanlı Sistemler, ARM64 tabanlı Sistemler | 10.0.0’dan 10.0.22000.2295’e kadar olan sürümden etkilendi |
| Windows 10 Sürüm 21H2 | 32 bit Sistemler, ARM64 Tabanlı Sistemler | 10.0.19044.3324 öncesi 10.0.0’dan etkilendi |
| Windows 11 sürüm 22H2 | ARM64 tabanlı Sistemler, x64 tabanlı Sistemler | 10.0.22621.2134 öncesi 10.0.0’dan etkilendi |
| Windows 10 Sürüm 22H2 | x64 tabanlı Sistemler, ARM64 tabanlı Sistemler, 32 bit Sistemler | 10.0.19045.3324 öncesi 10.0.0’dan etkilendi |
| Windows 10 Sürüm 1507 | 32 bit Sistemler, x64 tabanlı Sistemler | 10.0.10240.20107 öncesindeki 10.0.0 sürümünden etkilenmiştir |
| Windows 10 Sürüm 1607 | 32 bit Sistemler, x64 tabanlı Sistemler | 10.0.14393.6167’den önceki 10.0.0 sürümünden etkilendi |
| Windows Sunucusu 2016 | x64 Tabanlı Sistemler | 10.0.14393.6167’den önceki 10.0.0 sürümünden etkilendi |
| Windows Server 2016 (Sunucu Çekirdeği kurulumu) | x64 Tabanlı Sistemler | 10.0.14393.6167’den önceki 10.0.0 sürümünden etkilendi |
| Windows Server 2008 Hizmet Paketi 2 | 32 bit Sistemler | 6.0.6003.22216’dan önceki 6.0.0’dan etkilendi |
| Windows Server 2008 Service Pack 2 (Sunucu Çekirdeği kurulumu) | 32 bit Sistemler, x64 tabanlı Sistemler | 6.0.6003.22216’dan önceki 6.0.0’dan etkilendi |
| Windows Server 2008 Hizmet Paketi 2 | x64 Tabanlı Sistemler | 6.0.6003.22216’dan önceki 6.0.0’dan etkilendi |
| Windows Server 2008 R2 Hizmet Paketi 1 | x64 Tabanlı Sistemler | 6.1.7601.26664 öncesi 6.1.0’dan etkilenmiştir |
| Windows Server 2008 R2 Service Pack 1 (Sunucu Çekirdeği kurulumu) | x64 Tabanlı Sistemler | 6.1.7601.26664 öncesi 6.0.0’dan etkilendi |
| Windows Sunucusu 2012 | x64 Tabanlı Sistemler | 6.2.9200.24414 öncesi 6.2.0’dan etkilenmiştir |
| Windows Server 2012 (Sunucu Çekirdeği kurulumu) | x64 Tabanlı Sistemler | 6.2.9200.24414 öncesi 6.2.0’dan etkilenmiştir |
| Windows Sunucusu 2012 R2 | x64 Tabanlı Sistemler | 6.3.9600.21503 öncesi 6.3.0’dan etkilenmiştir |
| Windows Server 2012 R2 (Sunucu Çekirdeği kurulumu) | x64 Tabanlı Sistemler | 6.3.9600.21503 öncesi 6.3.0’dan etkilenmiştir |
Bu ürünleri kullananların Microsoft’un da belirttiği gibi en son sürüme yükseltmeleri tavsiye ediliyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.