Anlatıcı erişilebilirlik aracında, DLL ele geçirmeyle ilgili kalıcı bir güvenlik açığı tespit edildi ve bu, zaman içinde önemli bir endişe kaynağı haline geldi.
Bu kusur, kötü niyetli kişilerin araçtan yararlanmasına olanak tanıyarak, erişilebilirlik özellikleri için ona bağlı olan sistemlerin güvenliğini tehlikeye atabilir.
İlk olarak uzman Hexacorn tarafından 2013’e kadar uzanan raporlarda fark edilen kusur, modern Windows 10 ve 11 sürümlerinde de varlığını sürdürüyor ve yerel yönetici ayrıcalıklarına sahip saldırganların gizli kod yürütme, sistem kalıcılığı ve hatta uzaktan yatay hareket elde etmesine olanak tanıyor.
VX-Underground depolarındaki madencilik taktiklerinden ilham alan TrustedSec keşfi, günlük erişilebilirlik özelliklerinin kötü amaçlar için nasıl silah haline getirilebileceğini vurguluyor.
Bu teknik, Narrator.exe’nin MSTTSLocOneCoreEnUS.dll dosyasını %windir%\system32\speech_onecore\engines\tts yolundan yüklemesinden yararlanır.
Saldırganlar, bu DLL dosyasını kötü amaçlı bir sürümle değiştirerek, herhangi bir dışa aktarım gerektirmeden Anlatıcı başlatıldığında rastgele kod çalıştırabilir.
DLL’nin DllMain ekleme işlevi veri yükünü tetikliyor, ancak araştırmacılar bunu Anlatıcı’nın ana iş parçacığını askıya alacak, aracın ses çıkışını susturacak ve kullanıcıları uyarabilecek görsel ipuçlarını önleyecek şekilde geliştirdi.
GitHub’daki bir kavram kanıtı, özel kodu fark edilmeden çalıştırırken Anlatıcı’yı dondurarak bu kaçışı gösteriyor.
Kayıt Defteri Düzenlemeleri Yoluyla Kullanıcı Düzeyinde Kalıcılık
Saldırganlar, kayıt defterini değiştirerek bu ele geçirme işlemini oturum açıldığında otomatik olarak yürütülecek şekilde yerleştirebilirler.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility altında, “yapılandırma” adlı ve “Anlatıcı” olarak ayarlanmış bir REG_SZ değeri oluşturmak, kullanıcı oturum açtığında DLL’yi tetikler.
TrustedSec testleri, kötü amaçlı DLL’nin sessizce yüklenmesiyle, oturumu kapattıktan sonra sorunsuz bir şekilde devam ettiğini doğruladı. Bu yöntem, ilk erişimin ötesinde yükseltilmiş ayrıcalıklar gerektirmez, bu da onu kullanıcı bağlamlarında dayanak noktalarını korumak için ideal kılar.
Daha geniş bir etki için teknik, aynı kayıt defteri değişikliğini HKLM altında uygulayarak SİSTEM düzeyinde kalıcılığa kadar uzanır ve Anlatıcı’yı oturum açma ekranında yükseltilmiş ayrıcalıklarla başlatır.
Yanal hareket başka bir katman daha ekler: Impacket gibi araçlar aracılığıyla uzaktan kayıt defteri erişimine sahip saldırganlar, DLL’yi dağıtabilir ve HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer’ı 0 olarak değiştirebilir.
Hedefe RDP bağlantısı daha sonra oturum açma sırasında Anlatıcı’nın Ctrl+Win+Enter aracılığıyla tetiklenmesine, oturum kapanmadan önce yükün SİSTEM olarak yürütülmesine olanak tanır ve sürekli erişim için hızlı işlem geçişini zorunlu kılar.
Araştırmacılar ayrıca, kayıt defteri dışa ve içe aktarma yoluyla özel erişilebilirlik araçları (AT’ler) hazırlayan, isteğe bağlı yürütülebilir dosyalara, hatta uzaktan yük dağıtımı için UNC ağ yollarına işaret eden “Kendi Erişilebilirliğinizi Getirin”i de gösterdi.
ATBroker.exe /start aracılığıyla tetikleme esnekliği daha da artırır. Henüz bir CVE atanmamış olsa da bu, erişilebilirlik özelliklerinde yama yapılmamış eski davranışların risklerinin altını çiziyor ve kuruluşları kayıt defteri değişikliklerini ve DLL yollarını titizlikle izlemeye teşvik ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
