CVE-2024-43641 olarak tanımlanan kritik bir Windows Kayıt Defteri Ayrıcalık Yükselmesi güvenlik açığı. Windows Server 2025, Windows 10 ve Windows 11’in çeşitli sürümlerini etkileyen bu kusura, yüksek ciddiyeti gösteren CVSS v3.1 puanı 7,8 olarak atandı.
Güvenlik açığı, Windows Kayıt Defteri’ndeki bir tamsayı taşmasından veya sarmalanmasından kaynaklanıyor ve potansiyel olarak saldırganların yükseltilmiş ayrıcalıklarla rastgele kod yürütmesine olanak tanıyor.
x64 ve ARM64 tabanlı sistemlerin yanı sıra Server 2008’den Server 2025’e ve Windows 10’dan Windows 11’e kadar Windows sürümlerini çalıştıran bazı 32 bit sistemler özellikle savunmasızdır.
“Yanlış Dosya Değişmezliği” (FFI) olarak adlandırılan bu güvenlik açığı sınıfının keşfi, Gabriel Landau’nun BlueHat IL 2024 ve REcon Montreal 2024’te sunulan son araştırmasına atfediliyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
FFI, kod, dosyaların FILE_SHARE_WRITE olmadan açıldıkları için değiştirilemeyeceğini varsaydığında ortaya çıkar. Ancak belirli senaryolarda saldırganlar, yazma paylaşımı reddedilse bile dosyaları değiştirebilir ve bu da çift okuma güvenlik açıklarına yol açabilir.
PoC İstismarı Yayınlandı – CVE-2024-43641
Bu istismar, Windows kayıt defteri kovanı bellek yönetiminde bir tasarım gözetiminden yararlanıyor. Kayıt defteri kovanlarının yüklenmesi sırasında, belirli bellek baskısı koşulları altında, aynı bellek sayfalarının temel ortamdan getirilmesi, çıkarılması ve yeniden okunması mümkündür.
Bu, kötü niyetli bir SMB sunucusunun her iki isteğe de farklı verilerle yanıt verebileceği ve çekirdeğin varsayımlarını bozabileceği bir güvenlik sorunu yaratır.
PoC’yi paylaşan Google Project Zero’dan Mateusz Jurczyk, Hive dosyasını işlemek için Python komut dosyalarını çalıştıran Linux tabanlı bir SMB sunucusu kullanarak bu istismarı gösterdi. PoC, Temmuz 2024 yamalarının yüklü olduğu Windows 11 23H2 üzerinde başarıyla çalıştı.
Güvenlik açığını yeniden oluşturmak için araştırmacılar, Windows 11 VM’den (4 GB RAM) ve Python tabanlı bir SMB sunucusu çalıştıran ayrı bir Linux VM’den oluşan bir test ortamı kullandılar.
Bu istismar, büyük bir Hive dosyası hazırlamayı (yaklaşık 900 MB), bellek baskısı oluşturmayı ve ardışık okuma isteklerinde Hive verilerini değiştirmek için kötü amaçlı bir SMB sunucusunun kullanılmasını içeriyor.
Güvenlik açığı, Windows Kayıt Defteri’ndeki çöp kutusu başlık yapısı düzeninden yararlanarak, bir saldırganın keyfi boyuttaki bir arabelleğe göre kontrollü bir sınır dışı ofsette kontrollü sayıda bit’i 1’e ayarlamasına olanak tanır. Bu, güçlü bir hafıza bozulması ilkeliyle sonuçlanır.
Microsoft, güvenlik açığını kabul etti ve önerilen düzeltmelerden birini içeren KB5036980 Önizlemesini yayımladı. Düzeltme, Windows 11 23H2 için KB5037771 olarak genel kullanıma sunuldu, ancak diğer platformlardaki testler henüz beklemede.
Her zaman olduğu gibi kullanıcılara ve sistem yöneticilerine en son güvenlik güncellemelerini uygulamaları ve olası istismarlara karşı tetikte olmaları tavsiye ediliyor. Siber güvenlik topluluğu, vahşi ortamda herhangi bir aktif istismar belirtisi olup olmadığına dair durumu izlemeye devam ediyor.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!