Saldırganların Windows sistemlerinde yönetici ayrıcalıklarına ihtiyaç duymadan rootkit benzeri yetenekler kazanmasına olanak tanıyan yeni bir güvenlik açığı ortaya çıkarıldı.
“MagicDot” olarak adlandırılan bu güvenlik açığı, Windows işletim sistemindeki DOS’tan NT’ye yol dönüştürme işleminden yararlanıyor.
Burada güvenlik açığının teknik ayrıntılarına, saldırı yöntemlerine, sağladığı rootkit benzeri yeteneklere ve bu tür istismarlara karşı korunmaya yönelik azaltma stratejilerine değineceğiz.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Güvenlik Açığı Açıklaması
MagicDot güvenlik açığı, Windows’un dosya yollarını işleme biçiminden kaynaklanmaktadır. Özellikle, DOS’tan NT’ye yol dönüştürme sürecinde saldırganların manipüle edebileceği bilinen bir sorundur.
Güvenlik açığı dosyaların, dizinlerin ve süreçlerin gizlenmesine olanak tanıyarak saldırganın sistemde fark edilmeden çalışabilmesini etkili bir şekilde sağlar.
| DOS Yolu | NT Yolu (MagicDot) |
| C:\örnek\örnek. | \??\C:\örnek\örnek |
| C:\örnek\örnek… | \??\C:\örnek\örnek |
| C:\örnek\örnek |
\??\C:\örnek\örnek |
| C:\örnek\örnek |
\??\C:\örnek\örnek |
| C:\örnek.\örnek | \??\C:\örnek\örnek |
| C:\örnek |
\??\C:\örnek |
Sorun, nokta ve boşluk içeren dosya yollarının sistem veya üzerinde çalışan yazılım tarafından öngörülmeyen bir şekilde işlenmesinden kaynaklanmaktadır.
Bu, dosya ve süreçlerin kullanıcıya ve sistemin kendi yönetim araçlarına yanlış tanıtılması da dahil olmak üzere çeşitli beklenmedik davranışlara yol açabilir.
Saldırganlar MagicDot güvenlik açığından çeşitli yöntemlerle yararlanabilir:
- Kötü Amaçlı Dosyaları ve İşlemleri Gizleme: Saldırganlar, özel hazırlanmış nokta ve boşluk içeren dosya yollarını kullanarak, kötü amaçlı dosyaları ve işlemleri kullanıcıdan ve Görev Yöneticisi ve İşlem Gezgini gibi sistem izleme araçlarından gizleyebilir.
- Arşiv Dosyası İşleme: Saldırganlar, içeriklerini gizlemek için arşiv dosyalarını manipüle edebilir. Bir kurban arşivi çıkardığında, çıkarma mantığı kandırılarak gerçek dosyalar yerine sembolik bağlantılar oluşturulur ve bu da saldırganın yükünün yürütülmesine yol açar.
- Dosyaların Yanlış Beyan Edilmesi: Güvenlik açığı, kötü amaçlı yazılım dosyalarının Microsoft tarafından yayınlanan doğrulanmış yürütülebilir dosyalar gibi görünmesini sağlamak, kullanıcıları yanıltmak ve potansiyel olarak güvenlik önlemlerini atlamak için kullanılabilir.
- Hizmet Reddi (DoS): Saldırganlar, DoS güvenlik açığından yararlanarak Process Explorer’ı devre dışı bırakabilir ve kurbanın kötü amaçlı etkinlikleri analiz etme ve tespit etme yeteneğini engelleyebilir.
Rootkit Benzeri Yetenekler
MagicDot güvenlik açığı, saldırganlara, gizli kalarak bir bilgisayara yetkisiz kök veya yönetim erişimi sağlamak üzere tasarlanmış bir tür kötü amaçlı yazılım olan rootkite benzer yetenekler sağlar:
Gizlilik: Dosyaları, dizinleri ve işlemleri hem kullanıcılardan hem de sistem izleme araçlarından gizleme yeteneği.
Anti-Analiz: Process Explorer gibi analiz araçlarını devre dışı bırakmaya veya yanıltmaya yönelik teknikler, kullanıcıların veya yöneticilerin kötü amaçlı yazılım varlığını tespit etmesini zorlaştırır.
Kalıcılık: Saldırganlar, kötü amaçlı işlemleri ve dosyaları gizleyerek, tespit edilmeden sistemde kalıcı bir varlık sürdürebilir.
Araştırmacılar, yukarıda belirtildiği gibi bulguları Microsoft’a açıkladılar. Microsoft, güvenlik açıklarını giderdi ancak DOS’tan NT’ye yol dönüşümüyle ilgili bilinen sorunu çözülmeden bırakmaya karar verdi.
- Uzaktan Kod Yürütme (CVE-2023-36396CVSS: 7.8): Güvenlik açığı Microsoft tarafından doğrulandı, yeniden oluşturuldu ve düzeltildi. “Önemli” önem derecesine sahip bir RCE olarak değerlendirildi.
- Ayrıcalığın Yükselmesi (Yazma) (CVE-2023-32054CVSS: 7.3): Güvenlik açığı Microsoft tarafından doğrulandı, yeniden oluşturuldu ve düzeltildi. Bu, “Önemli” önem derecesine sahip bir ayrıcalık yükselmesi (PE) olarak değerlendirildi.
- Ayrıcalığın Yükselmesi (Silinme): Güvenlik açığı Microsoft tarafından yeniden oluşturuldu ve doğrulandı. Ancak bir CVE veya düzeltme yayınlamadılar, bunun yerine şu yanıtı verdiler: “Bu sorunu Microsoft’a gönderdiğiniz için tekrar teşekkür ederiz. Bu sorunun acil güvenlik hizmeti gerektirmediğini belirledik ancak beklenmeyen bir davranış ortaya çıktı. Bu ürün veya hizmetin gelecekteki bir sürümünde bu soruna yönelik bir düzeltme dikkate alınacaktır.”
- Anti-Analiz için Process Explorer Ayrıcalıksız DOS (CVE-2023-42757): Güvenlik açığı, Process Explorer mühendislik ekibi tarafından 17.04 sürümünde yeniden oluşturuldu, doğrulandı ve düzeltildi. CVE-2023-42757, MITRE tarafından bu güvenlik açığı için ayrılmıştır. MITRE, güvenlik açığını Microsoft ile doğruladı ve ayrıntıların çevrimiçi olarak yayınlanmasının ardından CVE’yi yayınlayacak.